Emotet har utvecklats. Och det är inte bra. Masken vinner uppmärksamheten hos säkerhetsvakter denna månad, som ett utnyttjande av Wi-Fi-nätverk. Det hoppar. Det sprider sig. Dess utlösare är osäkra lösenord på routrar och Windows-datorer.

Specifikt, enligt dess upptäckare, det är "en ny laddartyp som drar fördel av wlanAPI-gränssnittet för att räkna upp alla Wi-Fi-nätverk i området, och sedan försöker sprida sig till dessa nätverk, infektera alla enheter som den kan komma åt under processen."

Paul Wagenseil, en senior redaktör som bevakar säkerheten kl Toms guide , var en av flera författare som följde denna "nyfunna variant av den fruktade Emotet-trojanen."

Varför beskrev Wagenseil det som fruktat? "Emotet är en mångfacetterad stam av skadlig programvara som började sitt liv 2014 som en banktrojan, " han skrev, "men lade senare till förmågan att stjäla personlig information, installera ransomware, bilda botnät och ladda ner andra delar av skadlig programvara."

Ett säkerhetsföretag Binary Defense identifierade varianten. Enligt Binary Defense, "Med den här nyupptäckta lastartypen som används av Emotet, en ny hotvektor introduceras till Emotets kapacitet. Tidigare trott att endast spridas via malspam och infekterade nätverk, Emotet kan använda denna loader-typ för att sprida via närliggande trådlösa nätverk om nätverken använder osäkra lösenord."

Medan Wagenseil beskrev det som fruktat, James Quinn, malware analytiker för Binary Defense, gav ännu fler skäl att vara medveten om Emotets krafter:

"Emotet är en mycket sofistikerad trojan som vanligtvis också fungerar som en laddare för annan skadlig programvara. En nyckelfunktion hos Emotet är dess förmåga att leverera anpassade moduler eller plugins som är lämpade för specifika uppgifter, inklusive att stjäla Outlook-kontakter, eller spridning över ett LAN."

Och Sergiu Gatlan in Bleeping Computer den 7 februari tänkte på ännu fler påminnelser. "Emotet-trojanen rankades först i en 'Topp 10 mest utbredda hot' som togs fram av den interaktiva malware-analysplattformen Any.Run i slutet av december, " han skrev, "med tredubbla antalet uppladdningar för analys jämfört med nästa skadliga programfamilj i topp, agenten Teslas informationsstjälare."

Gatlan rapporterade också att The Cybersecurity and Infrastructure Security Agency (CISA) hade utfärdat en varning "om ökad aktivitet relaterad till riktade Emotet-attacker ... råder administratörer och användare att granska Emotet Malware-varningen för vägledning."

Binary Defense fann att Wi-Fi-spridningsbeteendet hade gått obemärkt förbi i nästan två år.

Hur kunde det vara?

TechRadar Anthony Spadafora nämnde två skäl, på grund av (1) hur sällan binären togs bort. Han skrev, "Enligt Binary Defense, Den 23 januari 2020 var första gången företaget såg att filen levererades av Emotet trots att den ingick i skadlig programvara sedan 2018." (2) Dess förmåga att fortsätta utan att bli upptäckt kan ha varit att "modulen gjorde inte visa spridningsbeteende på virtuella maskiner och automatiserade sandlådor utan Wi-Fi-kort som forskare använder för att dissekera nya stammar av skadlig programvara."

Toms guide gav en detaljerad genomgång av hur Emotet fungerar.

När Emotet har installerats på en PC, "worm.exe" kontrollerar hur många Wi-Fi-nätverk som har räckvidd. Steget misslyckas på Windows XP men inte senare versioner av Windows. Emotet försöker knäcka åtkomstlösenord för varje närliggande Wi-Fi-nätverk, "drar dem från en förkompilerad lista med troliga lösenord en efter en tills en fungerar."

Låt sedan spridningen börja:

"När den har beviljats ​​åtkomst till ett nätverk, Emotet skickar nätverksnamnet och lösenordet för det nyligen knäckta nätverket till sin kommando-och-kontrollserver, uppenbarligen lägger informationen till en huvudlista över hackade Wi-Fi-nätverk.

"Då tar skadlig programvara bort sin värddators befintliga Wi-Fi-anslutning och ansluter datorn till det nyligen länkade nätverket, varefter Emotet söker efter anslutna Windows-maskiner. Den försöker sedan brute-force Windows-användarnamn och användarlösenord på varje nyinfekterad maskin, ritar från en annan förkompilerad lista med troliga textsträngar."

Wagenseil sa att förutom svaga Wi-Fi-lösenord, det visas också i infekterade e-postbilagor.

Quinns avslutande kommentarer på hans diskussion om binärt försvar inkluderade råd om att använda starka lösenord för att säkra trådlösa nätverk så att skadlig programvara som Emotet inte kan få obehörig åtkomst till nätverket.

Quinn underströk också detekteringsstrategier för detta hot som skulle inkludera "aktiv övervakning av slutpunkter för nya tjänster som installeras och undersöka misstänkta tjänster eller processer som körs från temporära mappar och användarprofilapplikationsdatamappar." Han sa också att nätverksövervakning var en effektiv upptäckt, "eftersom kommunikationen är okrypterad och det finns igenkännliga mönster som identifierar innehållet i meddelandet om skadlig programvara."

© 2020 Science X Network