mercoledì 12 febbraio 2020

Nuova versione di Emotet attacca le reti Wi-Fi vicine per fare più vittime


Il malware Emotet non ha bisogno di presentazioni: è uno dei più noti e diffusi malware degli ultimi anni con funzioni di info stealer e furto di credenziali, sopratutto bancarie. I ricercatori di Binary Defense hanno individuato una nuova tecnica di diffusione del malware: Emotet utilizza dispositivi già infettati per individuare nuove vittime che sono connesse alle reti wi-fi nei dintorni della vittima. Insomma, questa nuova versione ha un "Wi-fi spreader" per scansionare le reti wi-fi nei dintorni e tentare di attaccare tutti i dispositivi che vi sono connessi. I ricercatori fanno sapere che lo spreader wi-fi in realtà potrebbe risalire già al 2018: contiene infatti un timestamp del 16 Aprile 2018. Sarebbe quindi rimasto non individuato per oltre due anni. Un cambiamento, questo, che rende l'idea della crescita e miglioramento continuo delle capacità di Emotet, che adesso può attaccare anche vittime in stretta vicinanza fisica con la vittima originale. 

Come funziona il nuovo modulo?
Questo  modulo sfrutta un host già compromesso per poter elencare tutte le reti wi-fi vicine. Per fare questo usa l'interfaccia wlanAPI, così da individuare SSID, la potenza del segnale, il metodo di autenticazione (WPA, WPA2 o WEP) e la modalità di criptazione usata per proteggere la pass. Sono tutte le informazioni utili per tentare la connessione alla reti wi-fi tentando un attacco di bruteforce: per questa operazione Emotet è stato dotato di due elenchi di possibili password da tentare nell'attacco per autenticarsi alla rete bersaglio. Attualmente non è chiaro come sia stato costruito questo elenco di password.

Se l'operazione ha successo, Emotet collega l'host compromesso sulla rete appena violata e inizia ad elencare tutte le condivisioni non nascoste. A questo punto avviene una seconda fase di attacchi di brute force per individuare nome utente e password degli altri user connessi alla rete. 

Fonte: www.binarydefense.com

Se riesce ad accedere ad altri utenti individuando la password, Emotet passa alla fase successiva e installa il payload dannoso, chiamato service.exe sul nuovo dispositivo infetto: l'installazione avviene sotto le mentite spoglie di un servizio di sistema di Windows Defender (WinDefService), così da mascherare il comportamento dannoso e ridurre la possibilità di individuazione da parte di eventuali soluzioni antimalware e antivirus.

Siamo di fronte, in breve, ad un vero e proprio comportamento da worm, con un ampio potenziale di diffusione. Diviene fondamentale per le aziende la scelta di password molto solide per le proprie reti, così da impedire accessi non autorizzati. Il malware può anche essere individuato con un monitoraggio attivo dei processi in esecuzione dalla cartella temporanei e dalla cartella application data. 

Emotet in breve:
E' un trojan modulare sviluppato per rubare informazioni bancarie o finanziarie come le credenziali di accesso all'home banking o i wallet di criptovalute. Oltre a ciò, esfiltra dati sensibili, credenziali di login di svariate tipologie di servizi e informazioni personali. Non viene mai da solo, anzi, funge da distributore di altri trojan bancari, malware per il furto dati o bot modulari altamente personalizzabili come Trickbot. Emotet gestisce una botnet come malware-as-a-service (MaaS), affittabile nel dark web e che quindi mette in condizione i cyber criminali di poter affittare una imponente infrastruttura per diffondere nuovi malware. 

Nessun commento:

Posta un commento