Emotet is geëvolueerd. En dat is niet goed. De worm trekt deze maand de aandacht van beveiligingsmensen, als een exploit van Wi-Fi-netwerken. Het hopt. Het verspreidt zich. De triggers zijn onveilige wachtwoorden op routers en Windows-pc's.

specifiek, volgens zijn ontdekkers, het is "een nieuw type lader dat gebruikmaakt van de wlanAPI-interface om alle Wi-Fi-netwerken in het gebied op te sommen, en probeert zich vervolgens naar deze netwerken te verspreiden, het infecteren van alle apparaten waartoe het toegang heeft in het proces."

Paul Wagenseil, een senior redacteur die beveiliging behandelt bij Tom's gids , was een van de vele schrijvers die deze "nieuw gevonden variant van de gevreesde Emotet Trojan" volgden.

Waarom beschreef Wagenseil het als gevreesd? "Emotet is een alleskunner malware die in 2014 begon als een banktrojan, " Hij schreef, "maar voegde later de mogelijkheid toe om persoonlijke informatie te stelen, ransomware installeren, botnets vormen en andere malware downloaden."

Een beveiligingsbedrijf Binary Defense identificeerde de variant. Volgens binaire verdediging, "Met dit nieuw ontdekte type lader dat door Emotet wordt gebruikt, een nieuwe bedreigingsvector wordt geïntroduceerd in de mogelijkheden van Emotet. Voorheen werd gedacht dat het zich alleen verspreidde via malspam en geïnfecteerde netwerken, Emotet kan dit type loader gebruiken om zich te verspreiden via nabijgelegen draadloze netwerken als de netwerken onveilige wachtwoorden gebruiken."

Terwijl Wagenseil het als gevreesd beschreef, James Quinn, malware-analist voor Binary Defense, gaf nog meer redenen om op de hoogte te zijn van de krachten van Emotet:

"Emotet is een zeer geavanceerde trojan die doorgaans ook dient als lader voor andere malware. Een belangrijke functionaliteit van Emotet is de mogelijkheid om aangepaste modules of plug-ins te leveren die geschikt zijn voor specifieke taken, inclusief het stelen van Outlook-contacten, of verspreid over een LAN."

En Sergiu Gatlan in BleepingComputer op 7 februari dacht aan nog meer herinneringen. "De Emotet-trojan staat op de eerste plaats in een 'Top 10 van meest voorkomende bedreigingen', opgesteld door het interactieve malware-analyseplatform Any.Run eind december. " Hij schreef, "met driemaal het aantal uploads voor analyse in vergelijking met de volgende malwarefamilie in hun top, de info-stealer van Agent Tesla."

Gatlan meldde ook dat The Cybersecurity and Infrastructure Security Agency (CISA) een waarschuwing had afgegeven "over verhoogde activiteit in verband met gerichte Emotet-aanvallen... en beheerders en gebruikers adviseerde om de Emotet Malware-waarschuwing voor advies te bekijken."

Binary Defense ontdekte dat het wifi-verspreidingsgedrag al bijna twee jaar onopgemerkt bleef.

Hoe kan dat?

TechRadar 's Anthony Spadafora noemde twee redenen, vanwege (1) hoe zelden het binaire bestand werd verwijderd. Hij schreef, "Volgens Binaire Defensie, 23 januari 2020 was de eerste keer dat het bedrijf zag dat het bestand werd geleverd door Emotet ondanks het feit dat het sinds 2018 in de malware was opgenomen." (2) Het vermogen om door te gaan zonder ontdekt te worden, zou kunnen zijn dat "de module geen verspreidingsgedrag vertonen op de virtuele machines en geautomatiseerde sandboxen zonder wifi-kaarten die onderzoekers gebruiken om nieuwe soorten malware te ontleden."

Tom's gids gaf een gedetailleerd overzicht van hoe Emotet werkt.

Zodra Emotet op een pc is geïnstalleerd, "worm.exe" controleert hoeveel wifi-netwerken er zijn met bereik. De stap mislukt op Windows XP, maar niet op latere versies van Windows. Emotet probeert toegangswachtwoorden van elk nabijgelegen wifi-netwerk te kraken, "ze uit een vooraf gecompileerde lijst met waarschijnlijke toegangscodes halen, de een na de ander totdat een werkt."

Laat dan het strooien beginnen:

"Zodra het toegang heeft gekregen tot een netwerk, Emotet stuurt de netwerknaam en het wachtwoord van het nieuw gekraakte netwerk naar zijn command-and-control-server, blijkbaar de informatie toevoegen aan een hoofdlijst van gehackte wifi-netwerken.

"Vervolgens sluit de malware de bestaande wifi-verbinding van de host-pc af en verbindt de pc met het nieuw gekoppelde netwerk, waarna Emotet scant naar aangesloten Windows-machines. Vervolgens probeert het de Windows-gebruikersnamen en gebruikerswachtwoorden op elke nieuw geïnfecteerde machine bruut te forceren, tekenen van een andere voorgecompileerde lijst met waarschijnlijke tekstreeksen."

Wagenseil zei dat afgezien van zwakke wifi-wachtwoorden, het verschijnt ook in geïnfecteerde e-mailbijlagen.

Quinns slotopmerkingen over zijn binaire verdedigingsdiscussie bevatten advies voor het gebruik van sterke wachtwoorden om draadloze netwerken te beveiligen, zodat malware zoals Emotet geen ongeautoriseerde toegang tot het netwerk kan krijgen.

Quinn benadrukte ook detectiestrategieën voor deze dreiging, waaronder "actieve monitoring van eindpunten voor nieuwe services die worden geïnstalleerd en het onderzoeken van verdachte services of processen die worden uitgevoerd vanuit tijdelijke mappen en gebruikersprofielapplicatiegegevensmappen." Hij zei ook dat netwerkbewaking een effectieve detectie was, "aangezien de communicatie niet-versleuteld is en er herkenbare patronen zijn die de inhoud van het malwarebericht identificeren."

© 2020 Wetenschap X Netwerk