Este malware se propaga a través de las redes WiFi

Desde su surgimiento, Emotet ha sido una de las familias de malware más activas entre los cibercriminales, quienes constantemente desarrollan nuevas versiones de este malware. Una de las muestras más recientes de Emotet permite a los hackers propagarse mediante redes WiFi inseguras en ubicaciones cercanas a un dispositivo infectado, aseguran especialistas en seguridad en redes.

En caso de encontrar una red WiFi cercana, Emotet puede infectar a cualquier dispositivo conectado, lo que significa un gran potencial de ataque para los desarrolladores del malware. Esta nueva versión de Emotet incluye nuevas tácticas de evasión  de ingeniería social para realizar actividades maliciosas como robo de credenciales, despliegue de troyanos, entre otras.

Aunque los primeros registros de
este binario de propagación inalámbrica de malware ocurrieron a inicios de
2020, los especialistas en seguridad en redes mencionan que el ejecutable tiene
una marca de tiempo del 16 de abril de 2018, lo que significa que este vector
de ataque permaneció inadvertido por casi dos años.

Esta nueva versión de Emotet
infecta al dispositivo objetivo con un archivo RAR autoextraible que contiene
dos binarios (worm.exe y service.exe) empleados para su propagación vía WiFi.
Después de la descompresión del archivo RAR, el binario worm.exe se ejecuta
automáticamente. Después de la ejecución, el binario comienza a escanear en
busca de otras redes WiFi para su propagación. Emotet usa la interfaz wlanAPI,
empleada para administrar perfiles de red inalámbrica y conexiones de red.

Al obtener un identificador de WiFi, el malware llama a WlanEnumInterfaces (función para enumarar todas las redes disponibles en el sistema de las víctimas). Esta función devuelve las redes inalámbricas enumeradas en una serie de estructuras que contiene todos sus detalles (SSID, señal, cifrado, método de autenticación, etc.).

Cuando finaliza la recolección de
datos de cada red localizada, Emotet despliega un ‘loop de fuerza
bruta‘ para obtener acceso a las redes atacadas; en caso de no lograr
establecer conexión con una red objetivo, la función se repite en la siguiente
red. Los expertos en seguridad en redes no han determinado cómo obtuvieron los
hackers la lista de contraseñas, aunque es posible que sea producto de una
brecha de datos.

En caso de encontrar la
contraseña correcta y concretar la conexión, el malware permanece dormido por
alrededor de 15 segundos antes de enviar un HTTP POST al C&C del atacante y
establecer la conexión a la red WiFi. Finalmente se entrega el ejecutable
Emotet incorporado, de modo que el malware comienza a infectar todos los
dispositivos posibles.

Los expertos en seguridad en
redes del Instituto Internacional de Seguridad Cibernética (IICS) mencionan que
una de las principales formas de protección contra las potenciales infecciones
de Emotet es el establecimiento de contraseñas seguras, puesto que la lista de
contraseñas empleada por los hackers debe contener, en su mayoría, contraseñas
de fábrica para los dispositivos WiFi. 

Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en programas de recompensas, protección de datos y la seguridad de datos. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud medica y reconocimiento facial.