Οι ερευνητές ανακάλυψαν μια νέα WiFi Spreader εκστρατεία που διανέμει το Emotet malware. Τον περασμένο μήνα είχε αποκαλυφθεί μια άλλη Emotet καμπάνια που εκμεταλλευόταν το wlanAPI interface για να επηρεάσει όλα τα δίκτυα WiFi της περιοχής και να εξαπλώσει το κακόβουλο λογισμικό.
Οι ερευνητές παρατήρησαν μια νέα ενημερωμένη έκδοση του WiFi Spreader που έχει μετατραπεί από ένα stand-alone πρόγραμμα σε μια πλήρως εξελιγμένη λειτουργία του Emotet με πολλές βελτιωμένες λειτουργίες.
Αλλαγές στη νέα έκδοση
Οι επιτιθέμενοι έφεραν αλλαγές στο WiFi Spreader module, χωρίς όμως να αλλάξουν τις βασικές λειτουργίες του κακόβουλου λογισμικού.
“Επίσης, έχουν βελτιώσει τη logging ικανότητα του spreader, επιτρέποντας στους δημιουργούς του Emotet να αποκτούν debugging logs από μολυσμένα μηχανήματα, μέσω της χρήσης ενός νέου πρωτοκόλλου επικοινωνίας”.
Χωρίς να επηρεάζεται η συνολική λειτουργικότητα του spreader, οι δημιουργοί του malware εισήγαγαν verbose debugging, και έκαναν το spreader πιο ευέλικτο ως προς τα payloads που μπορεί να μεταφορτώσει στα συστήματα.
Κατά τη διάρκεια της μόλυνσης, το νέο Wifi spreader module δεν μπορεί να κάνει brute force του c$ share, αλλά προσπαθεί να κάνει brute-force του ADMIN$ share στο παραβιασμένο δίκτυο.
Πριν προχωρήσει στο brute-force του C$ / ADMIN $, το spreader προσπαθεί να κατεβάσει, από μια hardcoded IP, ένα service binary και το εγκαθιστά απομακρυσμένα. Εάν δεν μπορέσει να κατεβάσει το binary, στέλνει το debug string “error downloading file”.
Σύμφωνα με τη Binary defense: “Κατά την εκκίνηση του Service.exe, το κακόβουλο λογισμικό συνδέεται με το ίδιο gate.php που χρησιμοποιείται από το spreader και στέλνει το debug string “remote service runned Downloading payload….”. Στη συνέχεια, επιχειρεί να συνδεθεί σε ένα hardcoded C2 όπου εγκαθιστά το Emotet binary, αποθηκεύοντας το ληφθέν αρχείο ως “firefox.exe”.
Τέλος, γίνεται λήψη του Emotet malware από τον C2 server και το Service.exe στέλνει μια επιβεβαίωση “payload downloaded ok” στο C2 πριν εκτελέσει το dropped αρχείο.
Οι ερευνητές πιστεύουν ότι αυτό το wifi spreader είναι ακόμα υπό ανάπτυξη.
