La nueva campaña de malware de Emotet propagó la infección a través de los clientes de la red a través de WiFi SpreaderLos investigadores descubrieron otra nueva ola de campaña WiFi Spreader de la familia de malware Emoter que se observó que se entregaba a varios bots.
El mes pasado informamos una campaña anterior de Emoter que aprovecha la interfaz wlanAPI para enumerar todas las redes Wi-Fi en el área y propaga la infección.
Los investigadores observaron una versión recientemente actualizada del WiFi Spreader que ha cambiado de un programa independiente a un módulo completo de Emotet con algunas otras mejoras de funcionalidad.
Los atacantes distribuyen este módulo con los cambios que permiten que el cargador de Emotet se descargue de un servidor en lugar de agrupar el cargador de Emotet con el separador.
Cambios en la nueva versión
Los atacantes aplicaron nuevos cambios en el módulo WiFi Spreader sin cambiar la funcionalidad clave del malware.
"Además, han aumentado la capacidad de registro del spreader, permitiendo a los autores de Emotet obtener registros de depuración paso a paso de las máquinas infectadas mediante el uso de un nuevo protocolo de comunicación".
Sin afectar la funcionalidad general del spreader, los autores de malware agregaron una depuración más detallada, al tiempo que hicieron que el spreader sea más versátil en las cargas útiles que descarga.
Durante la infección, el nuevo módulo difusor de Wifi no pudo forzar por fuerza bruta el recurso compartido c $, en su lugar, intentó forzar el recurso compartido ADMIN $ en la red comprometida.
Antes de intentar la fuerza bruta de C $ / ADMIN $, descargue un servicio binario desde la IP codificada e instálelo de forma remota.
egún el informe de defensa binaria,
"Al iniciar Service.exe, el malware se conecta al mismo gate.php utilizado por el separador y envía la cadena de depuración" servicio remoto ejecutado Descargando carga útil ... ". A continuación, intenta conectarse a un C2 codificado donde extrae el binario Emotet, guardando el archivo descargado como "firefox.exe". "
Finalmente, el malware Emotet descargado del servidor C2, en respuesta, Service.exe envía un acuse de recibo de "carga útil descargada correctamente" al C2 antes de ejecutar el archivo descartado, también asegura que el cargador descargado tenga el cargador Emotet más reciente, que es uno de los métodos efectivos para evadir la detección y evitar levantar la bandera al software de seguridad.
Los investigadores creen que este spreader wifi está en proceso de desarrollo y que también estaba presente el nombre para el cargador de Emotet (firefox.exe).