Les chercheurs en sécurité de Binary Defense ont récemment découvert un échantillon du cheval de Troie Emotet qui comprend un module de ver Wi-Fi qui permet aux logiciels malveillants de se propager sur des réseaux sans fil non sécurisés vers de nouvelles victimes. Cette nouvelle souche utilise les appels wlanAPI.dll pour découvrir les réseaux sans fil autour d'un ordinateur déjà infecté par Emotet. En utilisant la connexion Wi-Fi de la machine compromise, le malware tente de se frayer un chemin vers d'autres réseaux protégés par mot de passe à proximité. Une fois que l'appareil compromis s'est connecté avec succès à un autre réseau sans fil, le cheval de Troie Emotet commence à rechercher d'autres appareils Windows avec des partages non masqués. Le malware recherche ensuite tous les comptes sur ces appareils et force à nouveau le mot de passe du compte administrateur et de tous les autres utilisateurs du système. Enfin, le ver gagne en persistance sur le système en déposant une charge utile malveillante sous la forme d'un fichier binaire service.exe qui installe un nouveau service appelé « Windows Defender System Service ».
Séparateur Wi-Fi non découvert
Dans un article de blog détaillant leurs découvertes, les chercheurs de Binary Defense ont expliqué que la capacité d'Emotet à se propager via Wi-Fi est restée indétectée pendant près de deux ans, déclarant : « Worm.exe est le principal exécutable utilisé pour la transmission. Cet exécutable a un horodatage de 16/ 04/2018 et a été soumis pour la première fois à VirusTotal le 04/04/2018. L'exécutable avec cet horodatage contenait une adresse IP hachée d'un serveur de commande et de contrôle (C2) utilisé par Emotet. Cela suggère que ce comportement de streaming Wi-Fi a disparu "La raison pour laquelle le comportement du streaming Wi-Fi est passé inaperçu pendant si longtemps est due à la rareté des binaires. Selon Binary Defense, le 23 janvier 2020 a marqué la première fois que la société a observé qu'Emotet livrait le fichier même s'il était inclus dans le logiciel malveillant depuis 2018. Une autre raison pour laquelle il n'a pas été découvert pourrait être que le module n'a pas montré de comportement de propagation dans un environnement virtuel. machines et bacs à sable automatisés sans carte Wi-Fi que les chercheurs utilisent pour disséquer les nouvelles souches de logiciels malveillants. Emotet représentait déjà un risque sérieux auparavant, mais maintenant que les logiciels malveillants peuvent se propager sur les réseaux Wi-Fi avec de simples mots de passe, les organisations doivent prendre des précautions supplémentaires pour éviter d'en être victimes. . Via un ordinateur Bleeping