Malware Emotet Agora Pode Se Espalhar Através de Redes Wi-Fi

Pesquisadores de segurança da Binary Defense descobriram recentemente uma nova variante do Trojan Emotet que pode invadir redes Wi-Fi que estão ao alcance de um sistema infectado.

Emotet, um tipo de malware originalmente projetado como um Trojan bancário, pode roubar dados como credenciais de usuário armazenadas no navegador, instalar outros tipos de malware e ransomware, e formar botnets. Ele escaneia as redes para determinar SSIDs, tipo de criptografia e métodos de autenticação.

Também Leia - Como Hackear Senha de WiFi Usando Ataque WPA/WPA2

A nova amostra do Emotet descoberta alimenta um módulo “espalhador de Wi-Fi” para escanear redes Wi-Fi não seguras e, em seguida, tenta infectar dispositivos que estão conectados a elas, aproveitando senhas fracas e outras falhas de segurança.

“Com este novo loader-type descoberto usado pelo Emotet, um novo vetor de ameaça é introduzido nas capacidades do Emotet. Anteriormente pensado para se espalhar apenas através de spam malicioso e redes infectadas, o Emotet pode usar este loader-type para se espalhar através de redes sem fio próximas se as redes usarem senhas inseguras,” escreveu James Quinn, um Pesquisador de Ameaças e Analista de Malware da Binary Defense, em um post no blog.

Os pesquisadores notaram pela primeira vez o binário de espalhamento de Wi-Fi sendo entregue pelo Emotet em 23 de janeiro de 2020. O executável tem um timestamp de 16/04/2018, que foi submetido pela primeira vez ao banco de dados VirusTotal em 04/05/2018.

Isso indica que o comportamento de espalhamento de Wi-Fi está em execução “não notado” há quase dois anos. Isso pode ser em parte devido à frequência com que o binário é dropado, apesar de ter dados que remontam ao retorno do Emotet no final de agosto de 2019.

Como o Emotet funciona?

“Recuperamos esta amostra de malware de um bot Emotet usado para pesquisa e reverter engenharia o código do malware usando IDA Pro para determinar como ele opera,” disse Randy Pargman, Diretor Sênior de Caça a Ameaças e Contrainteligência da Binary Defense, ao Help Net Security.

Uma vez que o malware infecta um computador que tem capacidade Wi-Fi, ele usa a interface wlanAPI para encontrar quaisquer redes Wi-Fi na área próxima.

“Mesmo que essas redes estejam protegidas com uma senha necessária para se juntar, o malware tenta uma lista de possíveis senhas e, se uma das senhas adivinhadas funcionar para se conectar à rede Wi-Fi, ele juntará o computador infectado a essa rede,” explicou Pargman.

“Uma vez na rede, o malware escaneia todos os outros computadores conectados à mesma rede em busca de quaisquer computadores Windows que tenham compartilhamento de arquivos habilitado. Ele então recupera a lista de todas as contas de usuário nesses computadores e tenta adivinhar as senhas dessas contas, bem como a conta de Administrador. Se alguma das senhas adivinhadas estiver correta, o malware se copia para aquele computador e se instala executando um comando remoto no outro computador.”

Em última análise, ele reporta de volta ao servidor de comando e controle para confirmar a instalação. Assim, o malware tenta infectar o maior número possível de dispositivos.

Quinn alerta as empresas a usarem senhas fortes para proteger redes sem fio, para que malware como o Emotet não possa obter acesso não autorizado à rede.

Também Leia - Melhor Software Antivírus Gratuito Para Windows 10 PC

“Estratégias de detecção para esta ameaça incluem monitoramento ativo de endpoints para novos serviços sendo instalados e investigação de serviços suspeitos ou quaisquer processos executando de pastas temporárias e pastas de dados de aplicativos de perfil de usuário,” observa Quinn. “O monitoramento de rede também é uma detecção eficaz, uma vez que as comunicações são não criptografadas e existem padrões reconhecíveis que identificam o conteúdo da mensagem do malware.”

Para mais informações sobre as descobertas, você pode ler a documentação detalhada aqui.