Chargeur de logiciels malveillants Emotet sophistiqué prospérant sur des mots de passe non sophistiqués

Emotet a évolué. Et ce n'est pas bon. Le ver attire l'attention des observateurs de sécurité ce mois-ci, comme un exploit des réseaux Wi-Fi. Ça saute. Ça se propage. Ses déclencheurs sont des mots de passe non sécurisés sur les routeurs et les PC Windows.

Plus précisément, selon ses découvreurs, il s'agit "d'un nouveau type de chargeur qui profite de l'interface wlanAPI pour énumérer tous les réseaux Wi-Fi de la région, puis tente de se propager à ces réseaux, infectant tous les appareils auxquels il peut accéder dans le processus."

Paul Wagenseil, rédacteur en chef qui couvre la sécurité à Guide de Tom, fut l'un des nombreux écrivains à suivre cette "variante nouvellement trouvée du cheval de Troie Emotet redouté".

Pourquoi Wagenseil l'a-t-il décrit comme craint? "Emotet est une souche de logiciels malveillants polyvalente qui a commencé sa vie en 2014 en tant que cheval de Troie bancaire", a-t-il écrit, "mais a ensuite ajouté les capacités de voler des informations personnelles, d'installer des ransomwares, de former des botnets et de télécharger d'autres logiciels malveillants. . "

Une firme de sécurité Binary Defence a identifié la variante. Selon Binary Defence, "Avec ce type de chargeur récemment découvert utilisé par Emotet, un nouveau vecteur de menace est introduit dans les capacités d'Emotet. réseaux si les réseaux utilisent des mots de passe non sécurisés. "

Alors que Wagenseil l'a décrit comme craint, James Quinn, analyste de logiciels malveillants pour Binary Defence, a donné encore plus de raisons d'être conscient des pouvoirs d'Emotet:

"Emotet est un cheval de Troie hautement sophistiqué qui sert généralement de chargeur pour d'autres logiciels malveillants. Une fonctionnalité clé d'Emotet est sa capacité à fournir des modules ou plugins personnalisés adaptés à des tâches spécifiques, notamment le vol de contacts Outlook ou la propagation sur un réseau local. "

Et Sergiu Gatlan dans BleepingComputer le 7 février a pensé à encore plus de rappels. "Le cheval de Troie Emotet s'est classé premier dans le" Top 10 des menaces les plus répandues "élaboré par Any.Run, une plate-forme d'analyse interactive des malwares," a-t-il écrit ", avec le triple du nombre de téléchargements pour analyse par rapport à la prochaine famille de malwares en leur sommet, le voleur d'informations de l'agent Tesla. "

Gatlan a également indiqué que l'Agence de cybersécurité et de sécurité des infrastructures (CISA) avait émis un avertissement "sur l'augmentation des activités liées aux attaques ciblées d'Emotet … conseillant aux administrateurs et aux utilisateurs de consulter l'alerte Emotet Malware pour obtenir des conseils".

La défense binaire a constaté que le comportement de diffusion Wi-Fi était passé inaperçu depuis près de deux ans.

Comment cela pourrait-il être?

TechRadarAnthony Spadafora a mentionné deux raisons, en raison de (1) la rareté du binaire. Il a écrit: "Selon Binary Defence, le 23 janvier 2020 a marqué la première fois que la société avait observé le fichier livré par Emotet malgré le fait qu'il était inclus dans le malware depuis 2018". (2) Sa capacité à continuer sans être découverte aurait pu être que "le module n'affichait pas de comportement de propagation sur les machines virtuelles et les bacs à sable automatisés sans cartes Wi-Fi que les chercheurs utilisent pour disséquer de nouvelles souches de logiciels malveillants".

Guide de Tom a fourni un aperçu détaillé du fonctionnement d'Emotet.

Une fois Emotet installé sur un PC, "worm.exe" vérifie combien de réseaux Wi-Fi sont à portée. L'étape échoue sur Windows XP mais pas sur les versions ultérieures de Windows. Emotet tente de déchiffrer les mots de passe d'accès de chaque réseau Wi-Fi à proximité, "en les tirant d'une liste précompilée de codes d'accès probables les uns après les autres jusqu'à ce que l'un fonctionne."

Laissons ensuite l'étalement commencer:

"Une fois autorisé à accéder à un réseau, Emotet envoie le nom et le mot de passe du réseau nouvellement piraté à son serveur de commande et de contrôle, ajoutant apparemment les informations à une liste principale de réseaux Wi-Fi piratés.

"Ensuite, le logiciel malveillant abandonne la connexion Wi-Fi existante de son PC hôte et connecte le PC au réseau nouvellement lié, après quoi Emotet recherche les machines Windows connectées. Il essaie ensuite de forcer les noms d'utilisateur Windows et les mots de passe utilisateur sur chaque machine nouvellement infectée. , puisant dans une autre liste précompilée de chaînes de texte probables. "

Wagenseil a déclaré qu'en plus des mots de passe Wi-Fi faibles, il apparaît également dans des pièces jointes infectées.

Les derniers commentaires de Quinn sur sa discussion sur la défense binaire comprenaient des conseils pour l'utilisation de mots de passe forts pour sécuriser les réseaux sans fil afin que les logiciels malveillants comme Emotet ne puissent pas accéder sans autorisation au réseau.

Quinn a également souligné les stratégies de détection de cette menace, qui comprendraient "une surveillance active des points de terminaison pour les nouveaux services en cours d'installation et une enquête sur les services suspects ou sur tout processus exécuté à partir de dossiers temporaires et de dossiers de données d'application de profil utilisateur". Il a également déclaré que la surveillance du réseau était une détection efficace, "car les communications ne sont pas chiffrées et il existe des modèles reconnaissables qui identifient le contenu des messages de logiciels malveillants".

© 2020 Science X Network