El malware Emotet ahora puede propagarse a través de redes Wi-Fi

Los investigadores de seguridad de Binary Defenses han descubierto recientemente una nueva variante del troyano Emotet que puede hackear redes Wi-Fi que están dentro del alcance de un sistema infectado.

Emotet, una especie de malware diseñado originalmente como un troyano bancario, puede robar datos como credenciales de usuario almacenadas en el navegador, instalar otros tipos de malware y ransomware, y formar botnets. Escanea las redes para determinar SSIDs, tipo de cifrado y métodos de autenticación.

También lee - Cómo hackear la contraseña de WiFi usando el ataque WPA/WPA2

La nueva muestra de Emotet descubierta potencia un módulo de “propagador de Wi-Fi” para escanear redes Wi-Fi no seguras, y luego intenta infectar dispositivos que están conectados a ellas aprovechando contraseñas débiles y otras fallas de seguridad.

“Con este nuevo cargador descubierto utilizado por Emotet, se introduce un nuevo vector de amenaza a las capacidades de Emotet. Anteriormente se pensaba que solo se propagaba a través de spam malicioso y redes infectadas, Emotet puede usar este tipo de cargador para propagarse a través de redes inalámbricas cercanas si las redes utilizan contraseñas inseguras”, escribió James Quinn, investigador de amenazas y analista de malware de Binary Defense, en una publicación de blog.

Los investigadores notaron por primera vez el binario de propagación de Wi-Fi entregado por Emotet el 23 de enero de 2020. El ejecutable tiene una marca de tiempo del 16/04/2018, que fue enviado por primera vez a la base de datos de VirusTotal el 04/05/2018.

Esto indica que el comportamiento de propagación de Wi-Fi ha estado funcionando “sin ser notado” durante casi dos años. Esto puede deberse en parte a la infrecuencia con la que se lanza el binario, a pesar de tener datos que se remontan a cuando Emotet regresó por primera vez a finales de agosto de 2019.

¿Cómo funciona Emotet?

“Recuperamos esta muestra de malware de un bot de Emotet utilizado para investigación y desensamblamos el código del malware usando IDA Pro para determinar cómo opera”, dijo Randy Pargman, Director Senior de Caza de Amenazas y Contrainteligencia en Binary Defense, a Help Net Security.

Una vez que el malware infecta una computadora que tiene capacidad Wi-Fi, utiliza la interfaz wlanAPI para encontrar redes Wi-Fi en el área cercana.

“Incluso si esas redes están protegidas con una contraseña requerida para unirse, el malware intenta una lista de posibles contraseñas y si una de las contraseñas adivinadas funciona para conectarse a la red Wi-Fi, unirá la computadora infectada a esa red”, explicó Pargman.

“Una vez que está en la red, el malware escanea todas las otras computadoras conectadas a la misma red en busca de computadoras con Windows que tengan el uso compartido de archivos habilitado. Luego recupera la lista de todas las cuentas de usuario en esas computadoras e intenta adivinar las contraseñas de esas cuentas, así como la cuenta de Administrador. Si alguna de las contraseñas adivinadas es correcta, el malware se copia a esa computadora e instala ejecutándose un comando remoto en la otra computadora.”

En última instancia, informa de vuelta al servidor de comando y control para confirmar la instalación. De esta manera, el malware intenta infectar la mayor cantidad de dispositivos posible.

Quinn advierte a las empresas que utilicen contraseñas fuertes para asegurar las redes inalámbricas para que malware como Emotet no pueda obtener acceso no autorizado a la red.

También lee - Mejor software antivirus gratuito para Windows 10 PC

“Las estrategias de detección para esta amenaza incluyen la monitorización activa de los puntos finales para nuevos servicios que se instalen e investigar servicios sospechosos o cualquier proceso que se ejecute desde carpetas temporales y carpetas de datos de aplicaciones de perfil de usuario”, señala Quinn. “La monitorización de la red también es una detección efectiva ya que las comunicaciones no están cifradas y hay patrones reconocibles que identifican el contenido del mensaje del malware.”

Para más información sobre los hallazgos, puedes leer la documentación detallada aquí.