Emotet infecta dispositivos conectados a redes Wi-Fi cercanas

Se ha descubierto un nuevo módulo del troyano Emotet que se conecta a redes wifi cercanas y trata de infectar los dispositivos conectados a ellas.

En los últimos días, los investigadores de Binary Defense han detectado una muestra del troyano Emotet que incluye un módulo para buscar redes wifi cercanas al dispositivo infectado e infectar los dispositivos conectados a las mismas.

Éste nuevo módulo no es tan nuevo como parece, ya que el binario del módulo descargado por la muestra analizada fue subido a VirusTotal por primera vez el 4 de junio de 2018. El motivo por el que este módulo ha sido detectado ahora es que no todas las muestras descargan los mismos módulos, y este es uno de los menos utilizados.

Además de que este módulo no es tan popular, también se da el caso de que es el servidor de control el que decide qué módulos proporciona a la víctima. Esto quiere decir que, si el servidor de control solamente envía el módulo a víctimas que cumplen unos requisitos concretos (como su país de residencia) es más complicado que en un entorno controlado por los analistas se consega descargar este.

El módulo de búsqueda de redes funciona principalmente gracias a un ejecutable para Windows llamado ‘worm.exe’. En el mismo encontramos un bucle principal que básicamente utiliza ‘wlanAPI.dll’ para obtener la lista de redes wifi cercanas, a las que trata de conectarse.

A screenshot of a computer  Description automatically generated
Código encargado de listar las redes wifi cercanas

Una vez obtenida la lista de redes cercanas, el módulo continúa con la fase de fuerza bruta para conectarse a todas las redes posibles. Si es capaz de conectarse a alguna de las redes, el siguiente paso es enumerar los dispositivos conectados a la misma y sus carpetas compartidas. Tras este paso, comienza el ataque de fuerza bruta para determinar los nombres de usuario y contraseñas para acceder a los recursos compartidos.

Tras la fuerza bruta, si ha conseguido acceso a los ficheros compartidos, este módulo acabará almacenando el ejecutable ‘service.exe’ que fue descargado junto a ‘worm.exe’. ‘service.exe’ es el payload que se encargará de realizar la infección del nuevo dispositivo.

Desde Hispasec recomendamos tener siempre mucho cuidado con las redes wifi públicas, además de cambiar la contraseña por defecto de su red wifi por una contraseña más segura.

Más información:

Análisis Binary Defense: https://www.binarydefense.com/emotet-evolves-with-new-wi-fi-spreader/

Powered by WPeMatico

Gustavo Genez

Informático de corazón y apasionado por la tecnología. La misión de este blog es llegar a los usuarios y profesionales con información y trucos acerca de la Seguridad Informática.