Emotet ahora puede hackear redes Wi-Fi

Los investigadores de seguridad de Binary Defense descubrieron recientemente un ejemplo de un troyano Emotet con un módulo de gusano Wi-Fi que permitió que el malware se extendiera a nuevas víctimas en redes inalámbricas inseguras.

Este nuevo tipo utiliza la llamada wlanAPI.dll para buscar redes inal√°mbricas en computadoras que han sido infectadas con Emotets. Cuando se utiliza la conexi√≥n Wi-Fi de una computadora vulnerable, el malware intenta forzar el acceso a otra red protegida por contrase√Īa cercana.

Despu√©s de que el dispositivo comprometido se conecta con √©xito a otra red inal√°mbrica, el troyano Emotet comienza a buscar otro dispositivo de Windows con una parte que no est√© oculta. El malware busca en todas las cuentas de este dispositivo y fuerza brutalmente la contrase√Īa de la cuenta de administrador y de todos los dem√°s usuarios del sistema.

Eventualmente, el gusano se vuelve persistente en el sistema, excluyendo cargas peligrosas en forma de un servicio binary.exe que “instala” un nuevo servicio. Servicios de sistema de defensa de Windows “.

Un difusor de WiFi no descubierto

En una publicaci√≥n de blog que detalla sus resultados, los investigadores de Binary Defense dijeron que la capacidad de Emotet para extenderse a trav√©s de Wi-Fi no hab√≠a sido reconocida por casi dos a√Īos.

“Worm.exe es el archivo ejecutable principal utilizado para la distribuci√≥n. Esta versi√≥n tiene una marca de tiempo del 16/04/2008 y se transmiti√≥ por primera vez a VirusTotal el 4/04/2008. Ejecuci√≥n con esta marca de tiempo la fecha / hora contiene la direcci√≥n IP. Esto implica que el comportamiento de la propagaci√≥n de Wi-Fi ha pasado desapercibido durante casi dos a√Īos “.

La raz√≥n por la que el comportamiento de la implementaci√≥n de Wi-Fi no tard√≥ tanto es que el binario rara vez se descarta. Seg√ļn Binary Defense, el 23 de enero de 2020 es la primera vez que la compa√Ī√≠a ve un archivo enviado por Emotet, a pesar de que se ha incluido en malware desde 2018.

Otra razón que no se puede encontrar es que, sin la tarjeta Wi-Fi que usan los investigadores para analizar nuevos tipos de malware, el módulo no muestra el comportamiento de propagación en máquinas virtuales y cajas de arena automáticas.

Las emociones sol√≠an ser un riesgo grave, pero ahora las contrase√Īas simples pueden propagar malware a trav√©s de redes Wi-Fi y esperar que la compa√Ī√≠a tome precauciones adicionales para prevenir a las v√≠ctimas.

Sobre BleepingComputer