Se ha descubierto un nuevo módulo del troyano Emotet que se conecta a redes wifi cercanas y trata de infectar los dispositivos conectados a ellas.
En los últimos días, los investigadores de Binary Defense han detectado una muestra del troyano Emotet que incluye un módulo para buscar redes wifi cercanas al dispositivo infectado e infectar los dispositivos conectados a las mismas.
Éste nuevo módulo no es tan nuevo como parece, ya que el binario del módulo descargado por la muestra analizada fue subido a VirusTotal por primera vez el 4 de junio de 2018. El motivo por el que este módulo ha sido detectado ahora es que no todas las muestras descargan los mismos módulos, y este es uno de los menos utilizados.
Además de que este módulo no es tan popular, también se da el caso de que es el servidor de control el que decide qué módulos proporciona a la víctima. Esto quiere decir que, si el servidor de control solamente envía el módulo a víctimas que cumplen unos requisitos concretos (como su país de residencia) es más complicado que en un entorno controlado por los analistas se consiga descargar este.
El módulo de búsqueda de redes funciona principalmente gracias a un ejecutable para Windows llamado ‘worm.exe’. En el mismo encontramos un bucle principal que básicamente utiliza ‘wlanAPI.dll’ para obtener la lista de redes wifi cercanas, a las que trata de conectarse.
Una vez obtenida la lista de redes cercanas, el módulo continúa con la fase de fuerza bruta para conectarse a todas las redes posibles. Si es capaz de conectarse a alguna de las redes, el siguiente paso es enumerar los dispositivos conectados a la misma y sus carpetas compartidas. Tras este paso, comienza el ataque de fuerza bruta para determinar los nombres de usuario y contraseñas para acceder a los recursos compartidos.
Tras la fuerza bruta, si ha conseguido acceso a los ficheros compartidos, este módulo acabará almacenando el ejecutable ‘service.exe’ que fue descargado junto a ‘worm.exe’. ‘service.exe’ es el payload que se encargará de realizar la infección del nuevo dispositivo.
Desde Hispasec recomendamos tener siempre mucho cuidado con las redes wifi públicas, además de cambiar la contraseña por defecto de su red wifi por una contraseña más segura.
Más información:
Análisis Binary Defense: https://www.binarydefense.com/emotet-evolves-with-new-wi-fi-spreader/
Comentarios recientes