skip to Main Content

Cybercrime, Emotet si evolve ancora. Ora usa il WiFi per diffondersi

Cybercrime, Emotet Si Evolve Ancora. Ora Usa Il WiFi Per Diffondersi

Binary Defense: Emotet si evolve ancora e usa le reti WiFi come vettore di diffusione, grazie a un nuovo payload che sfrutta l’interfaccia wlanAPI per entrare nel sistema ed eseguire il malware

Emotet si evolve ancora e usa le reti WiFi come vettore di diffusione. Lo hanno scoperto gli esperti di cyber security di Binary Defense. I ricercatori hanno individuato un nuovo payload che sfrutta l’interfaccia wlanAPI per enumerare le reti Wi-Fi e successivamente diffondersi infettando i dispositivi a cui riesce ad accedere. Infine, una volta raggiunto il sistema, rilascia ed esegue il malware. Il binario da cui tutto ha inizio è un RAR autoestraente che contiene due file: worm.exe e service.exe. Il primo si occupa di profilare le reti tramite una chiamata alla funzione WlanEnumInterfaces della libreria wlanapi.dll e successivamente utilizza la funzione WlanGetAvailableNetworkList per ottenere un elenco di tutte le reti disponibili. Raccolte le informazioni, tenta di forzare le password delle reti tramite una lista interna. Se riesce ad accedere, contatta il server di C2 al quale fornisce le informazioni ottenute. 

Gli esperti di cyber security: Per gli autori del trojan si tratta di una grande novità. Questo, infatti, finora veniva diffuso solo con campagne mirate. Si presume che il codice malevolo si evolverà ancora

Secondo gli esperti di cyber security, a questo punto il tool del cybercrime tenta di forzare le password per tutti gli utenti della rete (inclusi eventuali account di amministratore) utilizzando una seconda lista di password, anch’essa hardcoded. Qualora l’esito dell’operazione vada buon fine, il file worm.exe provvede a copiare ed eseguire il file service.exe sul sistema rinominandolo my.exe. Quest’ultimo informa il server C2 che il servizio è in esecuzione e rilascia Emotet che custodisce all’interno di system.exe. Per il trojan questo tipo di diffusione è una grande novità, in quanto finora il codice malevolo veniva distribuito solo tramite campagne mirate. Significa che gli sviluppatori hanno ancora intenzione di usarlo e che in futuro ci potrebbero essere altre varianti con ulteriori capacità.

Back To Top