Emotet ha evolucionado. Y eso no es bueno. El gusano está llamando la atención de los vigilantes de seguridad este mes, como una explotación de las redes Wi-Fi. Salta. Se propaga. Sus desencadenantes son contraseñas inseguras en enrutadores y PC con Windows.

Específicamente, según sus descubridores, es "un nuevo tipo de cargador que aprovecha la interfaz wlanAPI para enumerar todas las redes Wi-Fi en el área, y luego intenta extenderse a estas redes, infectando todos los dispositivos a los que puede acceder en el proceso ".

Paul Wagenseil, un editor senior que cubre seguridad en Guía de Tom , fue uno de los varios escritores que siguieron esta "variante recién descubierta del temido troyano Emotet".

¿Por qué Wagenseil lo describió como temido? "Emotet es una variedad de software malicioso que se utiliza para todos los usos y que comenzó a funcionar en 2014 como un troyano bancario. " el escribio, "pero luego agregó las habilidades para robar información personal, instalar ransomware, crear redes de bots y descargar otras piezas de malware ".

Una empresa de seguridad Binary Defense identificó la variante. Según Binary Defense, "Con este tipo de cargador recién descubierto utilizado por Emotet, Se introduce un nuevo vector de amenazas a las capacidades de Emotet. Anteriormente se pensaba que solo se propagaba a través de malspam y redes infectadas, Emotet puede usar este tipo de cargador para propagarse a través de redes inalámbricas cercanas si las redes usan contraseñas inseguras ".

Si bien Wagenseil lo describió como temido, James Quinn, analista de malware para Binary Defense, dio aún más razones para estar al tanto de los poderes de Emotet:

"Emotet es un troyano altamente sofisticado que normalmente también sirve como cargador de otro malware. Una funcionalidad clave de Emotet es su capacidad para entregar módulos personalizados o complementos que son adecuados para tareas específicas, incluido el robo de contactos de Outlook, o extendiéndose a través de una LAN ".

Y Sergiu Gatlan en BleepingComputadora el 7 de febrero pensé en más recordatorios. "El troyano Emotet ocupó el primer lugar en el 'Top 10 de las amenazas más frecuentes' elaborado por la plataforma interactiva de análisis de malware Any.Run a finales de diciembre, " el escribio, "con el triple de subidas para análisis en comparación con la siguiente familia de malware en la parte superior, el ladrón de información del Agente Tesla ".

Gatlan también informó que la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) había emitido una advertencia "sobre el aumento de la actividad relacionada con los ataques dirigidos de Emotet ... aconsejando a los administradores y usuarios que revisen la alerta de Emotet Malware para obtener orientación".

Binary Defense descubrió que el comportamiento de propagación de Wi-Fi había pasado desapercibido durante casi dos años.

¿Cómo es posible?

TechRadar Anthony Spadafora mencionó dos razones, debido a (1) la poca frecuencia con la que se eliminó el binario. El escribio, "Según Binary Defense, El 23 de enero de 2020 marcó la primera vez que la compañía observó que Emotet entregaba el archivo a pesar de que estaba incluido en el malware desde 2018 ". (2) Su capacidad para continuar sin ser descubierto podría haber sido que" el módulo sí lo hizo ". no mostrar el comportamiento de propagación en las máquinas virtuales y las cajas de arena automatizadas sin tarjetas Wi-Fi que los investigadores utilizan para analizar nuevas cepas de malware ".

Guía de Tom proporcionó un repaso detallado de cómo funciona Emotet.

Una vez que Emotet esté instalado en una PC, "worm.exe" comprueba cuántas redes Wi-Fi tienen alcance. El paso falla en Windows XP pero no en versiones posteriores de Windows. Emotet intenta descifrar las contraseñas de acceso de cada red Wi-Fi cercana, "sacándolos de una lista precompilada de posibles códigos de acceso, uno tras otro, hasta que uno funcione".

Entonces deja que comience la propagación:

"Una vez que se le concede acceso a una red, Emotet envía el nombre de red y la contraseña de la red recién descifrada a su servidor de comando y control, aparentemente agregando la información a una lista maestra de redes Wi-Fi pirateadas.

"Luego, el malware abandona la conexión Wi-Fi existente de su PC host y conecta la PC a la red recién vinculada, después de lo cual Emotet busca máquinas Windows conectadas. Luego intenta forzar bruta los nombres de usuario de Windows y las contraseñas de usuario en cada máquina recién infectada, extrayendo de otra lista precompilada de posibles cadenas de texto ".

Wagenseil dijo que, además de las débiles contraseñas de Wi-Fi, también aparece en los archivos adjuntos de un correo electrónico infectado.

Los comentarios finales de Quinn sobre su discusión de Defensa Binaria incluyeron consejos sobre el uso de contraseñas seguras para proteger las redes inalámbricas, de modo que el malware como Emotet no pueda obtener acceso no autorizado a la red.

Quinn también subrayó las estrategias de detección para esta amenaza que incluirían "la supervisión activa de los puntos finales para los nuevos servicios que se están instalando e investigar los servicios sospechosos o cualquier proceso que se ejecute desde carpetas temporales y carpetas de datos de aplicaciones de perfil de usuario". También dijo que el monitoreo de la red fue una detección efectiva, "dado que las comunicaciones no están encriptadas y existen patrones reconocibles que identifican el contenido del mensaje de malware".

© 2020 Science X Network