Emotet Malware greift jetzt nahegelegene Wi-Fi-Netzwerke an, um neue Opfer zu infizieren - Admijalo Technology
Emotet Malware hackt WI-FI-Netzwerke

Emotet Malware greift jetzt nahegelegene Wi-Fi-Netzwerke an, um neue Opfer zu infizieren

Emotet, der berüchtigte Trojaner hinter einer Reihe von Botnet-gesteuerten Spam-Kampagnen und Lösegeld-Angriffen, hat einen neuen Angriffsvektor gefunden: Er nutzt bereits infizierte Geräte, um neue Opfer zu identifizieren, die mit nahe gelegenen Wi-Fi-Netzwerken verbunden sind.

Laut Forschern von Binary Defense nutzt die neu entdeckte Emotet-Art ein Modul zum Scannen von Wi-Fi-Netzwerken und versucht dann, Geräte zu infizieren, die mit ihnen verbunden sind.
Die Cybersicherheitsfirma sagte, das Wi-Fi-Modul (Wi-Fi spreader) habe einen Zeitstempel vom 16. April 2018, was darauf hinweist, dass das Verbreitungsverhalten fast zwei Jahre lang „unbemerkt“ lief, bis es im letzten Monat zum ersten Mal entdeckt wurde.
Diese Entwicklung markiert eine Eskalation der Fähigkeiten von Emotet, da Netzwerke in unmittelbarer Nähe des ursprünglichen Opfers nun anfällig für Infektionen sind.

Wie funktioniert das Wi-Fi-Modul von Emotet?

Die aktualisierte Version der Malware funktioniert, indem sie einen bereits kompromittierten Host nutzt, um alle nahegelegenen Wi-Fi-Netzwerke aufzulisten. Dazu nutzt sie die wlanAPI-Schnittstelle, um die SSID, die Signalstärke, die Authentifizierungsmethode (WPA, WPA2 oder WEP) und den Verschlüsselungsmodus zur Sicherung der Passwörter zu extrahieren.
Nachdem er auf diese Weise die Informationen für jedes Netzwerk erhalten hat, versucht der Wurm, eine Verbindung zu den Netzwerken herzustellen, indem er einen Brute-Force-Angriff mit Kennwörtern aus einer von zwei internen Kennwortlisten durchführt. Wenn die Verbindung fehlschlägt, wechselt er zum nächsten Kennwort in der Liste. Es ist nicht sofort klar, wie diese Liste von Kennwörtern zusammengestellt wurde.
Wenn der Vorgang jedoch erfolgreich ist, verbindet die Malware das kompromittierte System im neu zugreifenden Netzwerk und beginnt mit der Aufzählung aller nicht verborgenen Freigaben. Dann führt sie eine zweite Runde von Brute-Force-Angriffen durch, um die Benutzernamen und Kennwörter aller mit der Netzwerkressource verbundenen Benutzer zu erraten.
Nachdem der Wurm erfolgreich Benutzer und deren Kennwörter erzwungen hat, geht er in die nächste Phase über, indem er bösartige Nutzlasten – genannt „service.exe“ – auf den neu infizierten Remote-Systemen installiert. Um sein Verhalten zu tarnen, wird die Nutzlast als Windows Defender System Service (WinDefService) installiert.
Zusätzlich zur Kommunikation mit einem Command-and-Control (C2)-Server fungiert der Dienst als Dropper und führt die Emotet-Binärdatei auf dem infizierten Host aus.
Die Tatsache, dass Emotet von einem Wi-Fi-Netzwerk in das andere springen kann, stellt Unternehmen vor die Aufgabe, ihre Netzwerke mit starken Passwörtern zu sichern, um unbefugten Zugriff zu verhindern. Die Malware kann auch durch die aktive Überwachung von Prozessen erkannt werden, die aus temporären Ordnern und Anwendungsdatenordnern mit Benutzerprofilen laufen.

Emotet: Vom Banktrojaner zum Malware-Lader

Emotet, das erstmals 2014 identifiziert wurde, hat sich von seinen ursprünglichen Wurzeln als Banktrojaner zu einem „Schweizer Armeemesser“ gewandelt, das je nach Einsatz als Downloader, Informationsdieb und Spambot dienen kann.
Im Laufe der Jahre war es auch ein wirksamer Mechanismus für die Lieferung von Lösegeldern. Das IT-Netzwerk von Lake City wurde im vergangenen Juni lahmgelegt, nachdem ein Mitarbeiter versehentlich eine verdächtige E-Mail geöffnet hatte, in der der Trojaner Emotet heruntergeladen wurde, der wiederum den Trojaner TrickBot und die Lösegeldforderung Ryuk herunterlud.
Obwohl die von Emotet gesteuerten Kampagnen im Sommer 2019 weitgehend verschwanden, feierte sie im September ein Comeback durch „geografisch ausgerichtete E-Mails mit Lokal-Sprachlichen Verlockungen und Marken, oft mit finanziellen Themen und unter Verwendung von böswilligen Dokumentenanhängen oder Links zu ähnlichen Dokumenten, die, als die Benutzer Makros aktivierten, Emotet installierten“.

Mit diesem neu entdeckten, von Emotet verwendeten Loader-Typ wird ein neuer Bedrohungsvektor in die Fähigkeiten von Emotet eingeführt. Emotet kann diesen Loader-Typ verwenden, um sich über nahegelegene drahtlose Netzwerke zu verbreiten, wenn die Netzwerke unsichere Passwörter verwenden.

Jetzt kostenfreies Erstgespräch sichern!

Formular ausfüllen und unverbindliches Erstgespräch sichern.