Emotet adesso attacca il Wi-Fi e si comporta come un worm

Feb 11, 2020 Marco Schiaffino In evidenza, Malware, Minacce, News, RSS 0

Nuova tecnica di attacco per il trojan, che utilizza tecniche di brute forcing per violare le reti wireless e colpire i dispositivi collegati.

L’emergenza non accenna a fermarsi. Dopo una sorta di “anno sabbatico”, il gruppo di pirati informatici che sfrutta il malware Emotet ha ripreso alla grande la sua attività e sta seminando il panico nel mondo della sicurezza.

Dopo aver guadagnato l’onore delle cronache per aver messo k.o. per 24 ore i sistemi di Francoforte, i cyber-criminali hanno cominciato a sviluppare nuove tecniche per diffondere il trojan attraverso campagne di spam via email e, si scopre adesso, hanno dotato il trojan di nuovi moduli per diffonderlo con le modalità di un worm.

Secondo quanto riportano i ricercatori di Binary Defense, la nuova variante di Emotet utilizza infatti un sistema di diffusione che sfrutta le reti Wi-Fi (in precedenza lo avevano già fatto sulle classiche LAN) per colpire nuovi dispositivi.

Il modulo in questione, chiamato Worm.exe, è stato analizzato dai ricercatori e risulta essere stato sviluppato nel 2018. Questo significa, si sottolinea nel report, che è stato probabilmente utilizzato in passato, ma è riuscito a passare inosservato per due anni.

La procedura di attacco prevede l’invio di una serie di richieste che delineano, per prima cosa, la struttura della rete Wi-Fi a cui è collegato il dispositivo infetto e le altre reti disponibili nell’area. Emotet procede poi a individuare le tipologie dei sistemi di autenticazione per ogni rete (WPA2PSK; WPAPSK; UNKNOWN; WEP; OPEN) e le tecniche di crittografia adottate.

Solo a questo punto, Worm.exe avvia l’attacco alle reti attraverso un classico brute forcing a dizionario, sfruttando un elenco di password integrato nel codice del malware. Se riesce a collegarsi alla rete Wi-Fi, avvia la scansione per individuare i dispositivi collegati e comincia ad attaccarli uno per uno.

Il tentativo di connessione mira all’utente attivo e sfrutta una seconda lista di password. Nel caso in cui il malware non riesca a violare le password degli utenti collegati, punta direttamente all’account di amministratore del dispositivo.

Se una delle due procedure va a buon fine, avvia la diffusione del payload rappresentato da un file chiamato my.exe che viene copiato direttamente sul disco C:\\ del computer.

Una volta attivo, il processo si collega al server Comand and Control e scarica Emotet. A questo punto i pirati informatici hanno a disposizione tutti gli strumenti che gli servono per controllare in remoto il computer, sottrarre informazioni sensibili dal sistema e installare ulteriore malware.

La scoperta di questa nuova tecnica di attacco conferma la pericolosità di Emotet, già “certificata” dalla distribuzione, a opera del CERT giapponese, di uno strumento specifico per l’individuazione del trojan che è possibile scaricare a questo indirizzo e che, nelle intenzioni degli esperti, dovrebbe consentire di frenare la diffusione (al momento incontrollabile) del malware.

Condividi l'articolo