Emotet, el notorio troyano detrás de una serie de campañas de spam impulsadas por botnets y ataques de ransomware, ha encontrado un nuevo vector de ataque: el uso de dispositivos ya infectados para identificar nuevas víctimas que están conectadas a redes Wi-Fi cercanas.
Según los investigadores de Binary Defense, el recién descubierto Emoción sample aprovecha un módulo de «difusor Wi-Fi» para escanear redes Wi-Fi y luego intenta infectar los dispositivos que están conectados a ellas.
La firma de seguridad cibernética dijo que el transmisor Wi-Fi tiene una marca de tiempo del 16 de abril de 2018, lo que indica que el comportamiento de propagación ha estado pasando «desapercibido» durante casi dos años hasta que se detectó por primera vez el mes pasado.
El desarrollo marca una escalada de las capacidades de Emotet, ya que las redes cercanas físicamente a la víctima original ahora son susceptibles a la infección.
¿Cómo funciona el módulo de difusión Wi-Fi de Emotet?
La versión actualizada del malware funciona aprovechando un host ya comprometido para enumerar todas las redes Wi-Fi cercanas. Para ello, utiliza la interfaz wlanAPI para extraer el SSID, la intensidad de la señal, el método de autenticación (WPA, WPA2 o WEP) y el modo de cifrado utilizado para proteger las contraseñas.
Al obtener la información de cada red de esta manera, el gusano intenta conectarse a las redes realizando un ataque de fuerza bruta utilizando contraseñas obtenidas de una de las dos listas de contraseñas internas. Siempre que la conexión falle, pasa a la siguiente contraseña de la lista. No está claro de inmediato cómo se armó esta lista de contraseñas.
Pero si la operación tiene éxito, el malware conecta el sistema comprometido en la red a la que se accede recientemente y comienza a enumerar todos los recursos compartidos no ocultos. Luego lleva a cabo una segunda ronda de ataques de fuerza bruta para adivinar los nombres de usuario y las contraseñas de todos los usuarios conectados al recurso de red.
Después de haber forzado con éxito a los usuarios y sus contraseñas, el gusano pasa a la siguiente fase mediante la instalación de cargas maliciosas, llamadas «service.exe», en los sistemas remotos recién infectados. Para ocultar su comportamiento, la carga útil se instala como un Servicio del sistema de Windows Defender (WinDefService).
Además de comunicarse con un servidor de comando y control (C2), el servicio actúa como cuentagotas y ejecuta el binario Emotet en el host infectado.
El hecho de que Emotet pueda saltar de una red Wi-Fi a otra nos obliga a las empresas a proteger sus redes con contraseñas seguras para evitar el acceso no autorizado. El malware también se puede detectar al monitorear activamente los procesos que se ejecutan desde carpetas temporales y carpetas de datos de aplicaciones de perfil de usuario.
Emotet: de troyano bancario a cargador de malware
Emotet, que se identificó por primera vez en 2014, se transformó de sus raíces originales como un troyano bancario a una «navaja suiza» que puede servir como descargador, ladrón de información y robot de spam según cómo se implemente.
A lo largo de los años, también ha sido un mecanismo de entrega eficaz para el ransomware. La red de TI de Lake City se paralizó en junio pasado después de que un empleado sin darse cuenta abrió un correo electrónico sospechoso que descargó el troyano Emotet, que a su vez descargó el troyano TrickBot y el ransomware Ryuk.
Aunque las campañas impulsadas por Emotet desaparecieron en gran medida durante el verano de 2019, regresaron en septiembre a través de «correos electrónicos dirigidos geográficamente con señuelos y marcas en el idioma local, a menudo de temática financiera, y utilizando archivos adjuntos de documentos maliciosos o enlaces a documentos similares, que , cuando los usuarios habilitaron las macros, instalaron Emotet».
«Con este tipo de cargador recientemente descubierto utilizado por Emotet, se introduce un nuevo vector de amenaza para las capacidades de Emotet», concluyeron los investigadores de Binary Defense. «Emotet puede usar este tipo de cargador para propagarse a través de redes inalámbricas cercanas si las redes usan contraseñas inseguras».
