Wi-Fi é usado como novo ‘vetor’ para espalhar malware

Invasores estão usando redes sem fio desprotegidas para disseminar o malware Emotet a mais dispositivos

wifi-640404_640.jpg

Pesquisadores de segurança cibernética dizem que desenvolvedores de trojan (malware que age como na história do Cavalo de Troia, entrando no computador e criando uma porta para uma possível invasão) estão planejando maneiras de disseminá-lo para mais dispositivos

Os desenvolvedores do Emotet criaram uma nova maneira de difundir para mais vítimas, informa a empresa de segurança Binary Defense. Os invasores estão usando redes Wi-Fi desprotegidas como forma de disseminar o malware a mais dispositivos.

Desde que o Emotet ressurgiu no fim de 2019, seus criadores contam com uma variedade de métodos para ajudar a espalhar o malware para mais vítimas. A maioria desses métodos envolve e-mails de phishing com documentos da Microsoft anexados que contêm macros maliciosas que ajudam a entregar o malware em um dispositivo de destino.

O malware também pode se espalhar de um dispositivo para outro, criando uma botnet que ajuda a fornecer spam e e-mails adicionais, de acordo com os pesquisadores da Binary Defense.

Mas agora eles descobriram que algumas versões do Emotet podem ser espalhadas por uma rede Wi-Fi desprotegida, aproveitando senhas fracas e outras falhas de segurança. Embora esses tipos de infecções sejam raros, é importante ficar de olho em como os criadores do trojan estão tentando novos métodos, observa James Quinn, pesquisador de ameaças e analista de malware da Binary Defense.

“Com esse tipo de carregador recém-descoberto usado pelo Emotet, um novo vetor de ameaça é introduzido nos recursos do malware”, escreve Quinn. “Anteriormente pensado em se espalhar apenas através de spam e redes infectadas, o Emotet pode usar esse tipo de carregador para se espalhar por redes sem fio próximas, se as redes usarem senhas inseguras”.

Conexão Wi-Fi

Algumas amostras do Emotet em campanhas que utilizam Wi-Fi que os pesquisadores examinaram em janeiro continham um carimbo de data e data de 16 de abril de 2018, o que sugere que a capacidade de espalhar o malware por redes Wi-Fi mal protegidas pode ter passado despercebida até agora, segundo o relatório.

Nessas campanhas, uma vez que os invasores infectam um dispositivo com o trojan, ele começa a baixar o que os pesquisadores chamam de módulo espalhador de Wi-Fi, que contém dois binários, de acordo com o relatório. Um desses binários, chamado worm.exe, começa a listar todos os dispositivos habilitados para Wi-Fi que estão conectados ao dispositivo infectado.

O binário também extrai uma lista de redes sem fio alcançáveis ​​usando a interface wlanAPI encontrada em versões posteriores do Windows. Essa interface ajuda a gerenciar conexões Wi-Fi e perfis de rede em algumas versões do Windows.

Depois que a lista de todas as redes e dispositivos Wi-Fi é coletada, o binário começa a usar um ataque para adivinhar os nomes de usuário e senhas das redes sem fio, procurando um que possa quebrar, segundo o relatório. O malware Emotet tem uma lista interna de senhas que ele usa como parte desse ataque.

Se for bem-sucedido, o malware “dorme” por cerca de 14 segundos e se conecta novamente ao servidor de comando e controle (C&C) para receber mais instruções, de acordo com o relatório.

Depois que a conexão for estabelecida, o binário worm.exe inicia uma segunda série de ataques, descobriram os pesquisadores. Ele tenta adivinhar senhas para dispositivos, como PCs e servidores, que são conectados à rede Wi-Fi infectada, na tentativa de obter mais pontos de apoio. Se for bem-sucedido, um segundo binário, chamado service.exe, será instalado e retornará ao servidor de comando e controle, e o Emotet será instalado no dispositivo recém-acessado, observa o relatório.

Proteção de senha

As equipes de TI e segurança devem reservar um tempo para criar senhas mais fortes para redes Wi-Fi, a fim de garantir que esses ataques sejam menos prováveis ​​de obter sucesso, recomendam os pesquisadores.

“As estratégias de detecção para essa ameaça incluem o monitoramento ativo de terminais para novos serviços que estão sendo instalados e a investigação de serviços suspeitos ou qualquer processo em execução a partir de pastas temporárias e pastas de dados de aplicativos de perfil de usuário”, observa Quinn. “O monitoramento da rede também é uma detecção eficaz, pois as comunicações não são criptografadas e existem padrões reconhecíveis que identificam o conteúdo da mensagem de malware”, conclui.

Compartilhe
Compartilhar no email
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no linkedin
Compartilhar no whatsapp