Invasores estão usando redes sem fio desprotegidas para disseminar o malware Emotet a mais dispositivos
Pesquisadores de segurança cibernética dizem que desenvolvedores de trojan (malware que age como na história do Cavalo de Troia, entrando no computador e criando uma porta para uma possível invasão) estão planejando maneiras de disseminá-lo para mais dispositivos
Os desenvolvedores do Emotet criaram uma nova maneira de difundir para mais vítimas, informa a empresa de segurança Binary Defense. Os invasores estão usando redes Wi-Fi desprotegidas como forma de disseminar o malware a mais dispositivos.
Desde que o Emotet ressurgiu no fim de 2019, seus criadores contam com uma variedade de métodos para ajudar a espalhar o malware para mais vítimas. A maioria desses métodos envolve e-mails de phishing com documentos da Microsoft anexados que contêm macros maliciosas que ajudam a entregar o malware em um dispositivo de destino.
O malware também pode se espalhar de um dispositivo para outro, criando uma botnet que ajuda a fornecer spam e e-mails adicionais, de acordo com os pesquisadores da Binary Defense.
Mas agora eles descobriram que algumas versões do Emotet podem ser espalhadas por uma rede Wi-Fi desprotegida, aproveitando senhas fracas e outras falhas de segurança. Embora esses tipos de infecções sejam raros, é importante ficar de olho em como os criadores do trojan estão tentando novos métodos, observa James Quinn, pesquisador de ameaças e analista de malware da Binary Defense.
“Com esse tipo de carregador recém-descoberto usado pelo Emotet, um novo vetor de ameaça é introduzido nos recursos do malware”, escreve Quinn. “Anteriormente pensado em se espalhar apenas através de spam e redes infectadas, o Emotet pode usar esse tipo de carregador para se espalhar por redes sem fio próximas, se as redes usarem senhas inseguras”.
Conexão Wi-Fi
Algumas amostras do Emotet em campanhas que utilizam Wi-Fi que os pesquisadores examinaram em janeiro continham um carimbo de data e data de 16 de abril de 2018, o que sugere que a capacidade de espalhar o malware por redes Wi-Fi mal protegidas pode ter passado despercebida até agora, segundo o relatório.
Nessas campanhas, uma vez que os invasores infectam um dispositivo com o trojan, ele começa a baixar o que os pesquisadores chamam de módulo espalhador de Wi-Fi, que contém dois binários, de acordo com o relatório. Um desses binários, chamado worm.exe, começa a listar todos os dispositivos habilitados para Wi-Fi que estão conectados ao dispositivo infectado.
O binário também extrai uma lista de redes sem fio alcançáveis usando a interface wlanAPI encontrada em versões posteriores do Windows. Essa interface ajuda a gerenciar conexões Wi-Fi e perfis de rede em algumas versões do Windows.
Depois que a lista de todas as redes e dispositivos Wi-Fi é coletada, o binário começa a usar um ataque para adivinhar os nomes de usuário e senhas das redes sem fio, procurando um que possa quebrar, segundo o relatório. O malware Emotet tem uma lista interna de senhas que ele usa como parte desse ataque.
Se for bem-sucedido, o malware “dorme” por cerca de 14 segundos e se conecta novamente ao servidor de comando e controle (C&C) para receber mais instruções, de acordo com o relatório.
Depois que a conexão for estabelecida, o binário worm.exe inicia uma segunda série de ataques, descobriram os pesquisadores. Ele tenta adivinhar senhas para dispositivos, como PCs e servidores, que são conectados à rede Wi-Fi infectada, na tentativa de obter mais pontos de apoio. Se for bem-sucedido, um segundo binário, chamado service.exe, será instalado e retornará ao servidor de comando e controle, e o Emotet será instalado no dispositivo recém-acessado, observa o relatório.
Proteção de senha
As equipes de TI e segurança devem reservar um tempo para criar senhas mais fortes para redes Wi-Fi, a fim de garantir que esses ataques sejam menos prováveis de obter sucesso, recomendam os pesquisadores.
“As estratégias de detecção para essa ameaça incluem o monitoramento ativo de terminais para novos serviços que estão sendo instalados e a investigação de serviços suspeitos ou qualquer processo em execução a partir de pastas temporárias e pastas de dados de aplicativos de perfil de usuário”, observa Quinn. “O monitoramento da rede também é uma detecção eficaz, pois as comunicações não são criptografadas e existem padrões reconhecíveis que identificam o conteúdo da mensagem de malware”, conclui.