Emotet es un troyano altamente sofisticado que generalmente también actúa como cargador de otro malware. Una funcionalidad clave de Emotet es su capacidad de entregar módulos o complementos personalizados adecuados para tareas específicas, incluyendo el robo de contactos de Outlook o la propagación a través de una LAN. Recientemente, Binary Defense identificó un nuevo tipo de cargador que aprovecha la interfaz wlanAPI para enumerar todas las redes Wi-Fi que se encuentran en el área, y luego intenta propagarse a esas redes, infectando todos los dispositivos a los que puede acceder durante el proceso.

¿Cómo funciona el módulo esparcidor de Wi-Fi de Emotet?

La versión actualizada del malware funciona al aprovechar un host ya comprometido para enumerar todas las redes Wi-Fi cercanas. Para ello, utiliza la interfaz wlanAPI para extraer el SSID, la intensidad de la señal, el método de autenticación (WPA, WPA2 o WEP) y el modo de cifrado utilizado para proteger las contraseñas.

Al obtener la información para cada red, el gusano intenta conectarse a las redes mediante un ataque de fuerza bruta utilizando contraseñas obtenidas de una de las dos listas de contraseñas internas. Siempre que la conexión falle, pasará a la siguiente contraseña de la lista. No hay claridad de inmediato de cómo se creó esta lista de contraseñas.

Con este tipo de cargador recientemente descubierto y utilizado por Emotet, se introduce un nuevo vector de amenaza a las capacidades de Emotet. Anteriormente se pensaba que solo se propagaba a través de redes infectadas y correo no deseado, pero Emotet puede usar este tipo de cargador para propagarse a través de redes inalámbricas cercanas si las redes utilizan contraseñas inseguras. Los analistas de Binary Defense recomiendan el uso de contraseñas seguras para proteger las redes inalámbricas para que un malware como Emotet no pueda obtener acceso no autorizado a la red. Las estrategias de detección para esta amenaza incluyen el monitoreo activo de los puntos finales para los nuevos servicios que se instalan, y la investigación de servicios sospechosos o de cualquier proceso que se ejecute desde carpetas temporales y carpetas de datos de aplicaciones de perfil de usuario. El monitoreo de red también es una detección efectiva, ya que las comunicaciones no están cifradas y existen patrones reconocibles que identifican el contenido del mensaje de malware.

Referencias:
https://www.binarydefense.com/emotet-evolves-with-new-wi-fi-spreader/
https://thehackernews.com/2020/02/emotet-malware-wifi-hacking.html