Emotet a évolué. Et ce n'est pas bon. Le ver attire l'attention des observateurs de sécurité ce mois-ci, comme un exploit des réseaux Wi-Fi. Ça sautille. Il se propage. Ses déclencheurs sont des mots de passe non sécurisés sur les routeurs et les PC Windows.

Spécifiquement, selon ses découvreurs, c'est "un nouveau type de chargeur qui profite de l'interface wlanAPI pour énumérer tous les réseaux Wi-Fi de la zone, puis tente de se propager à ces réseaux, infectant tous les appareils auxquels il peut accéder dans le processus."

Paul Wagenseil, un rédacteur en chef qui couvre la sécurité à Le guide de Tom , était l'un des nombreux auteurs à suivre cette "nouvelle variante du redoutable cheval de Troie Emotet".

Pourquoi Wagenseil l'a-t-il décrit comme redouté ? « Emotet est une souche de malware polyvalente qui a commencé sa vie en 2014 en tant que cheval de Troie bancaire, " il a écrit, "mais a ajouté plus tard la possibilité de voler des informations personnelles, installer un ransomware, former des botnets et télécharger d'autres logiciels malveillants."

Une entreprise de sécurité Binary Defense a identifié la variante. Selon la défense binaire, "Avec ce type de chargeur récemment découvert utilisé par Emotet, un nouveau vecteur de menace est introduit dans les capacités d'Emotet. Auparavant, on pensait qu'il ne se propageait que par le malspam et les réseaux infectés, Emotet peut utiliser ce type de chargeur pour se propager via les réseaux sans fil à proximité si les réseaux utilisent des mots de passe non sécurisés."

Alors que Wagenseil le décrivait comme redouté, James Quinn, analyste malware pour Binary Defense, a donné encore plus de raisons d'être conscient des pouvoirs d'Emotet :

« Emotet est un cheval de Troie hautement sophistiqué qui sert généralement également de chargeur pour d'autres logiciels malveillants. Une fonctionnalité clé d'Emotet est sa capacité à fournir des modules ou des plugins personnalisés adaptés à des tâches spécifiques, y compris le vol de contacts Outlook, ou se propager sur un réseau local."

Et Sergiu Gatlan dans BipOrdinateur le 7 février pensé à encore plus de rappels. "Le cheval de Troie Emotet s'est classé au premier rang du 'Top 10 des menaces les plus répandues' établi par la plate-forme interactive d'analyse des logiciels malveillants Any.Run fin décembre, " il a écrit, "avec le triple du nombre de téléchargements pour analyse par rapport à la prochaine famille de logiciels malveillants dans leur top, le voleur d'informations de l'agent Tesla."

Gatlan a également signalé que la Cybersecurity and Infrastructure Security Agency (CISA) avait émis un avertissement "sur l'augmentation de l'activité liée aux attaques Emotet ciblées... conseillant aux administrateurs et aux utilisateurs de consulter l'alerte Emotet Malware pour obtenir des conseils".

Binary Defense a découvert que le comportement de propagation du Wi-Fi était passé inaperçu pendant près de deux ans.

Comment cela pourrait-il être?

TechRadar 's Anthony Spadafora a mentionné deux raisons, en raison de (1) la fréquence à laquelle le binaire a été abandonné. Il a écrit, « Selon la défense binaire, Le 23 janvier 2020 marquait la première fois que l'entreprise observait le fichier livré par Emotet malgré le fait qu'il était inclus dans le malware depuis 2018. » (2) Sa capacité à continuer sans être découvert aurait pu être que « le module a fait n'affiche pas de comportement de propagation sur les machines virtuelles et les bacs à sable automatisés sans cartes Wi-Fi que les chercheurs utilisent pour disséquer les nouvelles souches de logiciels malveillants."

Le guide de Tom a fourni un aperçu détaillé du fonctionnement d'Emotet.

Une fois Emotet installé sur un PC, "worm.exe" vérifie combien de réseaux Wi-Fi sont à portée. L'étape échoue sur Windows XP mais pas sur les versions ultérieures de Windows. Emotet tente de déchiffrer les mots de passe d'accès de chaque réseau Wi-Fi à proximité, "les extraire d'une liste précompilée de mots de passe probables l'un après l'autre jusqu'à ce que l'un fonctionne."

Ensuite, laissez l'épandage commencer :

"Une fois qu'il a accès à un réseau, Emotet envoie le nom de réseau et le mot de passe du réseau nouvellement craqué à son serveur de commande et de contrôle, ajoutant apparemment les informations à une liste principale de réseaux Wi-Fi piratés.

"Ensuite, le malware abandonne la connexion Wi-Fi existante de son PC hôte et connecte le PC au réseau nouvellement lié, après quoi Emotet recherche les machines Windows connectées. Il essaie ensuite de forcer les noms d'utilisateur et les mots de passe utilisateur Windows sur chaque machine nouvellement infectée, puisant dans une autre liste précompilée de chaînes de texte probables."

Wagenseil a déclaré qu'à part les mots de passe Wi-Fi faibles, il apparaît également dans les pièces jointes d'un e-mail infecté.

Les commentaires de clôture de Quinn sur sa discussion sur la défense binaire comprenaient des conseils sur l'utilisation de mots de passe forts pour sécuriser les réseaux sans fil afin que les logiciels malveillants comme Emotet ne puissent pas accéder sans autorisation au réseau.

Quinn a également souligné les stratégies de détection de cette menace qui incluraient "la surveillance active des points de terminaison pour les nouveaux services en cours d'installation et l'enquête sur les services suspects ou tout processus exécuté à partir de dossiers temporaires et de dossiers de données d'application de profil utilisateur". Il a également déclaré que la surveillance du réseau était une détection efficace, « puisque les communications ne sont pas cryptées et qu'il existe des modèles reconnaissables qui identifient le contenu du message malveillant ».

© 2020 Réseau Science X