Il malware Emotet può ora diffondersi attraverso le reti Wi-Fi

I ricercatori di sicurezza di Binary Defenses hanno recentemente scoperto una nuova variante del Trojan Emotet che può hackerare le reti Wi-Fi che si trovano nel raggio di un sistema infetto.

Emotet, un tipo di malware originariamente progettato come Trojan bancario, può rubare dati come le credenziali degli utenti memorizzate nel browser, installare altri tipi di malware e ransomware, e formare botnet. Scansiona le reti per determinare SSID, tipo di crittografia e metodi di autenticazione.

Leggi anche - Come hackerare la password WiFi utilizzando l’attacco WPA/WPA2

Il campione di Emotet recentemente scoperto alimenta un modulo “Wi-Fi spreader” per scansionare le reti Wi-Fi non protette e poi tenta di infettare i dispositivi connessi a esse sfruttando password deboli e altre vulnerabilità di sicurezza.

“Con questo loader-type recentemente scoperto utilizzato da Emotet, viene introdotto un nuovo vettore di minaccia alle capacità di Emotet. In precedenza si pensava che si diffondesse solo attraverso spam malevolo e reti infette, Emotet può utilizzare questo loader-type per diffondersi attraverso reti wireless vicine se le reti utilizzano password insicure,” ha scritto James Quinn, ricercatore di minacce e analista di malware per Binary Defense, in un post sul blog.

I ricercatori hanno notato per la prima volta il binario di diffusione Wi-Fi consegnato da Emotet il 23 gennaio 2020. L’eseguibile ha un timestamp del 16/04/2018, che è stato inviato per la prima volta al database VirusTotal il 04/05/2018.

Questo indica che il comportamento di diffusione Wi-Fi è stato in esecuzione “non notato” per quasi due anni. Questo potrebbe essere in parte dovuto a quanto raramente viene rilasciato il binario, nonostante i dati risalgano a quando Emotet è tornato per la prima volta alla fine di agosto 2019.

Come funziona Emotet?

“Abbiamo recuperato questo campione di malware da un bot Emotet utilizzato per la ricerca e abbiamo ingegnerizzato a ritroso il codice del malware utilizzando IDA Pro per determinare come opera,” ha detto Randy Pargman, Direttore Senior della Ricerca di Minacce e Controspionaggio presso Binary Defense, a Help Net Security.

Una volta che il malware infetta un computer che ha la capacità Wi-Fi, utilizza l’interfaccia wlanAPI per trovare eventuali reti Wi-Fi nelle vicinanze.

“Anche se quelle reti sono protette da una password richiesta per unirsi, il malware prova un elenco di possibili password e se una delle password indovinate funziona per connettersi alla rete Wi-Fi, unirà il computer infetto a quella rete,” ha spiegato Pargman.

“Una volta che è sulla rete, il malware scansiona tutti gli altri computer connessi alla stessa rete per eventuali computer Windows che hanno la condivisione di file abilitata. Recupera quindi l’elenco di tutti gli account utente su quei computer e tenta di indovinare le password di quegli account così come dell’account Amministratore. Se una delle password indovinate è corretta, il malware si copia su quel computer e si installa eseguendo un comando remoto sull’altro computer.”

In definitiva, riporta al server di comando e controllo per confermare l’installazione. In questo modo, il malware tenta di infettare il maggior numero possibile di dispositivi.

Quinn avverte le aziende di utilizzare password forti per proteggere le reti wireless in modo che malware come Emotet non possa ottenere accesso non autorizzato alla rete.

Leggi anche - Migliori software antivirus gratuiti per Windows 10 PC

“Le strategie di rilevamento per questa minaccia includono il monitoraggio attivo dei punti finali per nuovi servizi installati e l’indagine su servizi sospetti o qualsiasi processo in esecuzione da cartelle temporanee e cartelle di dati delle applicazioni del profilo utente,” osserva Quinn. “Il monitoraggio della rete è anche un rilevamento efficace poiché le comunicazioni non sono crittografate e ci sono schemi riconoscibili che identificano il contenuto del messaggio malware.”

Per ulteriori informazioni riguardo ai risultati, puoi leggere la documentazione dettagliata qui.