Emotet-Malware kann jetzt über WLAN-Netzwerke verbreitet werden

Sicherheitsforscher von Binary Defense haben kürzlich eine neue Variante des Emotet-Trojaners entdeckt, die WLAN-Netzwerke hacken kann, die sich in Reichweite eines infizierten Systems befinden.

Emotet, eine Art Malware, die ursprünglich als Banking-Trojaner entwickelt wurde, kann Daten wie Benutzerdaten, die im Browser gespeichert sind, stehlen, andere Arten von Malware und Ransomware installieren und Botnets bilden. Es scannt die Netzwerke, um SSIDs, Verschlüsselungstyp und Authentifizierungsmethoden zu bestimmen.

Auch lesen - Wie man das WLAN-Passwort mit WPA/WPA2-Angriff hackt

Die neu entdeckte Emotet-Probe nutzt ein „WLAN-Verbreiter“-Modul, um ungesicherte WLAN-Netzwerke zu scannen und versucht dann, Geräte zu infizieren, die mit ihnen verbunden sind, indem es schwache Passwörter und andere Sicherheitsanfälligkeiten ausnutzt.

„Mit diesem neu entdeckten Loader-Typ, der von Emotet verwendet wird, wird ein neuer Bedrohungsvektor in die Fähigkeiten von Emotet eingeführt. Früher dachte man, dass es sich nur durch bösartigen Spam und infizierte Netzwerke verbreitet, kann Emotet diesen Loader-Typ verwenden, um sich durch nahegelegene drahtlose Netzwerke zu verbreiten, wenn die Netzwerke unsichere Passwörter verwenden“, schrieb James Quinn, ein Bedrohungsforscher und Malware-Analyst bei Binary Defense, in einem Blogbeitrag.

Die Forscher bemerkten erstmals, dass die WLAN-verbreitende Binärdatei am 23. Januar 2020 von Emotet geliefert wurde. Die ausführbare Datei hat einen Zeitstempel vom 16.04.2018, der erstmals am 04.05.2018 in die VirusTotal-Datenbank eingereicht wurde.

Dies deutet darauf hin, dass das Verhalten der WLAN-Verbreitung fast zwei Jahre „unbemerkt“ lief. Dies könnte teilweise darauf zurückzuführen sein, wie selten die Binärdatei abgelegt wird, obwohl Daten bis zurück zu dem Zeitpunkt reichen, als Emotet Ende August 2019 erstmals zurückkam.

Wie funktioniert Emotet?

„Wir haben dieses Malware-Beispiel von einem Emotet-Bot abgerufen, der für Forschungszwecke verwendet wurde, und den Malware-Code mit IDA Pro zurückentwickelt, um zu bestimmen, wie er funktioniert“, sagte Randy Pargman, Senior Director of Threat Hunting and Counterintelligence bei Binary Defense, gegenüber Help Net Security.

Sobald die Malware einen Computer infiziert, der WLAN-fähig ist, verwendet sie die wlanAPI-Schnittstelle, um alle WLAN-Netzwerke in der Nähe zu finden.

„Selbst wenn diese Netzwerke mit einem Passwort geschützt sind, das erforderlich ist, um beizutreten, versucht die Malware eine Liste möglicher Passwörter, und wenn eines der erratenen Passwörter funktioniert, um sich mit dem WLAN-Netzwerk zu verbinden, wird der infizierte Computer mit diesem Netzwerk verbunden“, erklärte Pargman.

„Sobald es im Netzwerk ist, scannt die Malware alle anderen Computer, die mit demselben Netzwerk verbunden sind, nach Windows-Computern, die die Dateiübertragung aktiviert haben. Sie ruft dann die Liste aller Benutzerkonten auf diesen Computern ab und versucht, die Passwörter für diese Konten sowie das Administratorkonto zu erraten. Wenn eines der erratenen Passwörter korrekt ist, kopiert sich die Malware auf diesen Computer und installiert sich, indem sie einen Remote-Befehl auf dem anderen Computer ausführt.“

Letztendlich meldet sie sich beim Command-and-Control-Server zurück, um die Installation zu bestätigen. Auf diese Weise versucht die Malware, so viele Geräte wie möglich zu infizieren.

Quinn warnt Unternehmen, starke Passwörter zu verwenden, um drahtlose Netzwerke zu sichern, damit Malware wie Emotet keinen unbefugten Zugriff auf das Netzwerk erlangen kann.

Auch lesen - Beste kostenlose Antivirensoftware für Windows 10-PC

„Erkennungsstrategien für diese Bedrohung umfassen die aktive Überwachung von Endpunkten auf neu installierte Dienste und die Untersuchung verdächtiger Dienste oder Prozesse, die aus temporären Ordnern und Benutzerprofil-Anwendungsdatenordnern ausgeführt werden“, merkt Quinn an. „Die Netzwerküberwachung ist ebenfalls eine effektive Erkennung, da die Kommunikationen unverschlüsselt sind und es erkennbare Muster gibt, die den Inhalt der Malware-Nachricht identifizieren.“

Für weitere Informationen zu den Ergebnissen können Sie die detaillierte Dokumentation hier lesen.