Emotet utilizza le reti Wi-Fi come vettore di propagazione

11/02/2020

emotet

Finora abbiamo osservato Emotet diffondersi solo tramite campagne mirate, ma stando a quanto riportato da una recente analisi di Binary Defense, pare sia stato individuato un nuovo payload che sfrutta l’interfaccia wlanAPI per enumerare le reti Wi-Fi e successivamente diffondersi infettando i dispositivi a cui riesce ad accedere. In fine, una volta raggiunto il sistema, rilascia ed esegue il malware Emotet.

Di seguito riportata la catena di infezione:

Il binario da cui tutto ha inizio è un RAR autoestraente che contiene due file, rispettivamente denominati worm.exe e service.exe. Il file worm.exe si occupa di profilare le reti tramite una chiamata alla funzione WlanEnumInterfaces della libreria wlanapi.dll e successivamente utilizza la funzione WlanGetAvailableNetworkList per ottenere un elenco di tutte le reti disponibili. Una volta raccolte le informazioni, tenta di forzare le password delle reti tramite una lista interna e, ove riesce ad ottenere accesso, provvede a contattare il server di command and control (C2) al quale fornisce le informazioni ottenute tramite una richiesta POST sulla porta 8080. L’indirizzo del C2 è hardcoded.

A questo punto tenta di forzare le password per tutti gli utenti della rete (inclusi eventuali account di amministratore) utilizzando una seconda lista di password, anch’essa hardcoded. Qualora l’esito dell’operazione vada buon fine, il file worm.exe provvede a copiare ed eseguire il file service.exe sul sistema rinominandolo my.exe. Quest’ultimo informa il server C2 che il servizio è in esecuzione e rilascia Emotet che custodisce all’interno di system.exe.

Il suggerimento per proteggersi da minacce simili è quello di utilizzare password complesse per proteggere le reti wireless. Le strategie di rilevamento per questo tipo di minaccia riguardano il monitoraggio attivo degli endpoint e l’analisi dei processi in esecuzione da cartelle temporanee e cartelle di dati relativamente al profilo utente.

Gli IoC e gli interessanti dettagli tecnici sono disponibili su binarydefense.com

Taggato  emotet