Le malware Emotet peut désormais se propager via les réseaux Wi-Fi

Des chercheurs en sécurité de Binary Defense ont récemment découvert une nouvelle variante du cheval de Troie Emotet qui peut pirater les réseaux Wi-Fi à portée d’un système infecté.

Emotet, une sorte de malware initialement conçu comme un cheval de Troie bancaire, peut voler des données telles que les identifiants d’utilisateur stockés dans le navigateur, installer d’autres types de malware et de ransomware, et former des botnets. Il analyse les réseaux pour déterminer les SSID, le type de cryptage et les méthodes d’authentification.

Lire aussi - Comment pirater le mot de passe WiFi en utilisant l’attaque WPA/WPA2

L’échantillon Emotet récemment découvert alimente un module « propagateur Wi-Fi » pour scanner les réseaux Wi-Fi non sécurisés, puis tente d’infecter les appareils qui y sont connectés en profitant de mots de passe faibles et d’autres failles de sécurité.

« Avec ce nouveau type de chargeur découvert utilisé par Emotet, un nouveau vecteur de menace est introduit dans les capacités d’Emotet. Précédemment pensé pour ne se propager que par le biais de spam malveillant et de réseaux infectés, Emotet peut utiliser ce type de chargeur pour se propager à travers les réseaux sans fil à proximité si les réseaux utilisent des mots de passe non sécurisés », a écrit James Quinn, chercheur en menaces et analyste de malware pour Binary Defense, dans un article de blog.

Les chercheurs ont d’abord remarqué le binaire de propagation Wi-Fi livré par Emotet le 23 janvier 2020. L’exécutable a un horodatage du 16/04/2018, qui a été soumis pour la première fois à la base de données VirusTotal le 04/05/2018.

Cela indique que le comportement de propagation Wi-Fi fonctionne « inaperçu » depuis près de deux ans. Cela peut être en partie dû à la rareté avec laquelle le binaire est déposé, malgré des données remontant à l’époque où Emotet est réapparu à la fin août 2019.

Comment fonctionne Emotet ?

« Nous avons récupéré cet échantillon de malware d’un bot Emotet utilisé pour la recherche et avons rétro-ingénierie le code du malware en utilisant IDA Pro pour déterminer comment il fonctionne », a déclaré Randy Pargman, directeur senior de la chasse aux menaces et du contre-espionnage chez Binary Defense, à Help Net Security.

Une fois que le malware infecte un ordinateur ayant des capacités Wi-Fi, il utilise l’interface wlanAPI pour trouver tous les réseaux Wi-Fi dans la zone voisine.

« Même si ces réseaux sont protégés par un mot de passe requis pour se connecter, le malware essaie une liste de mots de passe possibles et si l’un des mots de passe devinés fonctionne pour se connecter au réseau Wi-Fi, il rejoindra l’ordinateur infecté à ce réseau », a expliqué Pargman.

« Une fois sur le réseau, le malware scanne tous les autres ordinateurs connectés au même réseau pour tout ordinateur Windows ayant le partage de fichiers activé. Il récupère ensuite la liste de tous les comptes utilisateurs sur ces ordinateurs et tente de deviner les mots de passe de ces comptes ainsi que du compte Administrateur. Si l’un des mots de passe devinés est correct, le malware se copie sur cet ordinateur et s’installe en exécutant une commande à distance sur l’autre ordinateur. »

En fin de compte, il fait rapport au serveur de commande et de contrôle pour confirmer l’installation. De cette manière, le malware tente d’infecter le plus d’appareils possible.

Quinn avertit les entreprises d’utiliser des mots de passe forts pour sécuriser les réseaux sans fil afin que des malwares comme Emotet ne puissent pas accéder de manière non autorisée au réseau.

Lire aussi - Meilleurs logiciels antivirus gratuits pour Windows 10 PC

« Les stratégies de détection pour cette menace incluent la surveillance active des points de terminaison pour de nouveaux services installés et l’investigation des services suspects ou de tout processus s’exécutant à partir de dossiers temporaires et de dossiers de données d’application de profil utilisateur », note Quinn. « La surveillance du réseau est également une détection efficace puisque les communications ne sont pas cryptées et qu’il existe des modèles reconnaissables qui identifient le contenu des messages de malware. »

Pour plus d’informations concernant les découvertes, vous pouvez lire la documentation détaillée ici.