Emotet attaque les réseaux Wi-Fi et se propage comme un ver

Une nouvelle version du logiciel malveillant Emotet a récemment été découverte et a la capacité de se propager grâce aux réseaux Wi-Fi non sécurisés situés à proximité d’un appareil infecté.

Si le malware a la possibilité de se propager grâce à un réseau Wi-Fi proche, il tentera d’infecter les appareils qui y sont connectés – une stratégie qui peut rapidement accélérer la propagation d’Emotet, ont déclaré les chercheurs. Cette nouvelle amélioration est particulièrement dangereuse car le malware Emotet est déjà très répandu. Depuis son retour en Septembre 2019, il a adopté de nouvelles tactiques d’évasion et d’ingénierie sociale pour dérober des informations d’identification et distribuer des chevaux de Troie aux victimes.

“Avec ce type de loader récemment découvert et utilisé par Emotet, un nouveau vecteur de menace est introduit dans les capacités d’Emotet”, a déclaré James Quinn, chercheur sur les menaces et analyste de logiciels malveillants pour Binary Defense, dans son analyse. «Auparavant, on pensait qu’il ne se propageait que par le biais de virus et de réseaux infectés, Emotet peut utiliser ce type de loader pour se propager à travers les réseaux sans fil à proximité si les réseaux utilisent des mots de passe non sécurisés.»

Alors que les chercheurs ont remarqué ce nouveau type de propagation via Wi-Fi le 23 janvier, ils ont déclaré que l’exécutable était daté du 16/04/2018, laissant entendre que la fonctionnalité de propagation sur Wi-Fi était active depuis près de deux ans. Cela peut être en partie dû à la fréquence à laquelle l’exécutable est déposé, ont déclaré des chercheurs, car c’est la première fois qu’ils le voient alors qu’ils traquent Emotet depuis son retour en 2019.

La propagation d’Emotet

Cette version d’Emotet infecte d’abord le système avec un fichier RAR qui s’extrait automatiquement, il contient deux fichiers exécutables (worm.exe et service.exe) utilisés pour la distribution via Wi-Fi. Une fois le fichier RAR décompressé, Worm.exe s’exécute automatiquement.

Le fichier exécutable worm.exe commence immédiatement le profilage des réseaux sans fil afin de tenter de se propager à d’autres réseaux Wi-Fi. Emotet utilise l’interface wlanAPI pour faire cela. wlanAPI est l’une des bibliothèques utilisées par l’interface de programmation d’application (API) Wi-Fi natif pour gérer les profils de réseau sans fil et les connexions au réseau sans fil.

Une fois l’identifiant Wi-Fi obtenu, le malware appelle ensuite WlanEnumInterfaces, une fonction qui énumère tous les réseaux Wi-Fi actuellement disponibles sur le système des victimes. La fonction renvoie les réseaux sans fil énumérés dans une série de structures qui contiennent toutes les informations qui leur sont liées (y compris leur SSID, signal, chiffrement et méthode d’authentification du réseau).

emotet

Une fois que les informations de chaque réseau ont été obtenues, le malware se connecte avec des «boucles de forçage brutal». Les hackers utilisent un mot de passe obtenu à partir de “listes de mots de passe internes” (on ne sait pas vraiment comment cette liste de mots de passe interne a été obtenue) pour tenter d’établir la connexion. Si la connexion échoue, la fonction fait une boucle et passe au mot de passe suivant dans la liste des mots de passe.

Si le mot de passe est correct et que la connexion réussit, le logiciel malveillant se met en veille pendant 14 secondes avant d’envoyer une requête HTTP POST à ​​son serveur commande-and-control (C2) sur le port 8080, et établit la connexion au réseau Wi-Fi.

Ensuite, l’exécutable commence à énumérer et à tenter de trouver les mots de passe pour tous les utilisateurs (y compris les comptes Administrateur) sur le réseau nouvellement infecté. Si l’une de ces tentatives réussit, worm.exe installe ensuite l’autre exécutable, service.exe, sur les appareils infectés. Pour gagner en persistance sur le système, l’exécutable est installé sous le nom de «Windows Defender System Service» (WinDefService).

“Avec des tampons de mémoire contenant soit une liste de tous les noms d’utilisateurs trouvés par force brute et leurs mots de passe, ou le compte administrateur et son mot de passe, worm.exe peut maintenant commencer à distribuer service.exe sur d’autres systèmes”, ont expliqué les chercheurs. «Service.exe est le payload d’infection installé sur les systèmes distants par worm.exe. Cette exécutable a contient la date 23/01/2020, date à laquelle il a été découvert pour la première fois par Binary Defence. »

Une fois que service.exe est installé et communique avec le C2, il commence à déposé l’exécutable Emotet intégré. C’est en utilisant cette méthode que le malware tente d’infecter autant d’appareils que possible.

Comment se protéger d’Emotet?

Emotet, qui a débuté en tant que cheval de Troie bancaire en 2014 et a continuellement évolué pour devenir un menace plus complexe, peut installer une collection de logiciels malveillants sur les machines victimes, y compris des voleurs d’informations, des collecteurs d’e-mails, des mécanismes d’auto-propagation et des ransomwares.

Les chercheurs, pour leur part, recommandent de bloquer cette nouvelle technique d’Emotet en utilisant de mots de passe forts pour sécuriser les réseaux sans fil.

“Les stratégies de détection de cette menace incluent la surveillance active des points de terminaison pour les nouveaux services en cours d’installation et l’enquête sur les services suspects ou tout processus exécuté à partir de dossiers temporaires et de dossiers de données d’application du profil utilisateur”, ont-ils déclaré. «La surveillance du réseau est également une détection efficace, car les communications ne sont pas chiffrées et il existe des modèles reconnaissables qui identifient le contenu des messages malveillants.»

Poster un Commentaire

avatar
  S’abonner  
Notifier de