Nueva característica del sofisticado Troyano Emotet permite esparcirse por redes Wi-Fi



Emotet es un troyano altamente sofisticado que comúnmente también es utilizado para cargar otros malware. Una de las principales funciones de Emotet es su habilidad de enviar módulos personalizados o complementos (plugins) para ser utilizados en una tarea en especifica, como robar contactos del gestor de correos Outlook, o replegarse por la red local (LAN).

Recientemente un grupo de investigadores han identificado un nuevo tipo de inyector que se aprovecha de la interfaz “wlanAPI” para enumerar todas las redes Wi-Fi en un área cercana y esparcirse por dichas redes inalámbricas, infectando todos los dispositivos que pueda en el proceso.



Descripción general de esparcimiento de Emotet por Wi-Fi



El protocolo de Emotet está basado en “Protobufs de Google” el cual es un lenguaje neutral para señalizar los datos enviados desde y hacia el servidor, dicha señalización es definida por medio de mensajes de búfer de protocolo en un archivo “.proto”. En cambio Emotet utiliza varios de estos mensajes para propagarse, uno de los mensajes enviados por el servidor con datos para ser cargados y ejecutados, es el siguiente:

message Deliverable {
    required int32 ID = 1;
     required int32 executeFlag = 2;
     required bytes blob = 3;
}

Donde “ID” es el módulo identificador, “blob” es el data binario, y “excuteFlag” determina como el binario va a ser cargado. De manera que “executeFlag” puede ser uno de los siguientes:


  1. Reservado para cargas útiles (payloads) y ejecutables únicos, como Trickbot. Así como inyecciones a “C:\ProgramData" y ejecutables.
  2. Igual a la escritura 1, pero duplica el token de los usuarios.
  3. Carga el binario en la memoria. Comúnmente usado por los módulos, principalmente son archivos DLLs que pueden ser cargados fácilmente en la memoria.

El primer binario para su esparcimiento por las redes Wi-Fi llega a un sistema con un módulo “ID= 5079” y un “executeFlag= 1”, lo que significa que puede ser inyectado en "C:\ProgramData" antes de ejecutar cargar de actualizaciones o otros malware, como TrickBot. Este binario inicial es un archivo “RAR” (archivo comprimido)  de tipo extraído por sí mismo (self-extracting), el cual contiene dos binarios usados en el esparcimiento Wi-Fi, “service.exe” y “worm.exe”, donde worm.exe está configurado como un archivo de instalación, lo que significa que es ejecutado automáticamente una vez el archivo “RAR” a sido descomprimido.



Extracción del RAR


La primera acción de "worm.exe" es la de copiar la cadena de "service.exe", variable que usará durante la propagación del archivo. Luego, inicia su bucle principal, comenzando a crear perfiles de las redes inalámbricas usando llamadas “wlanAPI.dll” para esparcirse a cualquier red que pueda acceder, siendo “wlanAPI.dll” una de las bibliotecas utilizadas por “Native Wi-Fi” para administrar perfiles de conexiones y redes inalámbricas. 

Cabe destacar que es posible que antes no se detectará esta característica, es debido a que los investigadores ejecutaban el malware en entornos controlados, como sandboxs sin una tarjeta Wi-Fi simulada o integrada.



Indicadores de Compromiso (IoC)

Worm.exe (hash)
077eadce8fa6fc925b3f9bdab5940c14c20d9ce50d8a2f0be08f3071ea493de8

Service.exe (hash)
64909f9f44b02b6a4620cdb177373abb229624f34f402335ecdb4d7c8b58520b

Comando y Control (C2)
87[.]106[.]37[.]146[:]8080
45[.]79[.]223[.]161[:]443


Fuente:

COMENTARIOS

Nombre

Actualización,3,Actualizaciones,4,Adobe,2,Adware,3,AgentTesla,1,android,31,Antivirus,3,Apache,1,APP,1,Apple,16,Apps,13,APT,1,Arkavia Networks,15,asus,1,Ataques,7,Azure,2,Backdoor,5,Bancos,6,Barracuda,1,Bases de Datos,6,BCE,1,Bluetooth,1,bootHole,1,Botnet,6,Botnet. Malware,1,Check Point,3,Chips,1,Chrome,3,Ciberataque,4,Cibercrimen,135,Ciberdelincuencia,9,ciberseguridad,141,Cisco,3,Citrix,5,Cloud,2,CMS,1,ComRAT,1,Comunicaciones,1,Consejos,1,CONVID,1,CookieThief,1,Coronavirus,1,COVID19,2,CPU,3,Criptomonedas,7,CSP,1,CTF,1,cyber day,2,Cyberwarfare,5,Dark Web,2,Data Breach,3,Data Leak,11,Database,2,Datos,2,DDoS,4,Deep Web,5,dlink,1,DNS,1,Domains,1,DoS,1,Ecommerce,3,elasticsearch,1,Email,2,Emotet,2,Empresas,113,enrutadores,1,Estadisticas,1,evento,1,Eventos,6,Evilnum,1,Exchange,2,exploit,7,Exploits,11,Extensiones,2,Extensions,2,F5 Networks,1,Facebook,9,Falla,1,Fintech,1,Firewall,1,Firmware,2,Flash,1,Framework,1,Freta,1,GARMIN,2,Glueball,1,Gmail,3,GoDaddy,1,google,34,GPS,2,GRUB2,1,Hacking,83,Hardware,7,Hosting,3,HTML5,1,HTTP,1,IBM,1,IGMP,1,Industria,10,Infostealer,2,Instagram,2,Intel,2,Internacional,40,Internet,34,Investigacion,9,IOC,1,ios,5,IoT,4,ipad,1,iphone,1,ISO,1,Joomla,1,LG,1,Linux,9,LSASS,1,Macromedia,1,Malware,45,Malwares,32,Maze,1,Messenger,1,MFA,1,Microsoft,37,Mirai,2,Monero,1,mongoDB,1,MSP,1,MSSQL,1,Mukashi,1,Nacional,10,NAS,2,Negocios,2,Netgear,1,Node.js,1,Openwrt,1,Oracle,2,OS,9,Passwordless,1,Payload,2,Paypal,1,phishing,16,Plugins,1,PoC,2,Protocolos,12,Python,2,QNAP,1,QR,1,Ragnar_Locker,1,Ransomware,18,RAT,2,RCE,2,RDP,3,Recomendaciones,16,Redes,30,redes sociales,12,Redhat,1,Remoto,1,Rookit,1,Rootkit,1,Routers,3,RRSS,2,Salt,1,Salud,2,SeguridadTI,1,Servicios,6,Smartphones,29,SMB,5,Software,23,Sophos,1,Spambot,1,Spamhaus,1,Spyware,11,SQL,1,SSL,1,Teams,1,TeamViewer,1,Tplink,1,Trickbot,1,Trojan,2,Troyano,3,Update,5,updates,22,USB,1,Videoconferencia,1,VNC,1,VPN,3,Vulnerabilidad,34,Vulnerabilidades,76,Web,8,WhatsApp,5,wifi,5,Windows,19,Wordpress,4,Xerox,1,XG,1,Yahoo,1,zeroday,3,Zoom,3,Zoombombing,1,
ltr
item
Arkavia Networks News: Nueva característica del sofisticado Troyano Emotet permite esparcirse por redes Wi-Fi
Nueva característica del sofisticado Troyano Emotet permite esparcirse por redes Wi-Fi
https://1.bp.blogspot.com/-PpfRREuQ6Ts/XkbolCabLqI/AAAAAAAAB3E/V6XegZzH_YQL5yqoCpNGDT22sgSTHV7twCLcBGAsYHQ/s640/New%2BFeaures%2BEmotet.jpg
https://1.bp.blogspot.com/-PpfRREuQ6Ts/XkbolCabLqI/AAAAAAAAB3E/V6XegZzH_YQL5yqoCpNGDT22sgSTHV7twCLcBGAsYHQ/s72-c/New%2BFeaures%2BEmotet.jpg
Arkavia Networks News
https://www.arkalabs.cl/2020/02/nueva-caracteristica-del-sofisticado.html
https://www.arkalabs.cl/
https://www.arkalabs.cl/
https://www.arkalabs.cl/2020/02/nueva-caracteristica-del-sofisticado.html
true
7213111567211435179
UTF-8
Se han cargado todas las publicaciones No se ha encontrado ninguna publicación. Ver Todos Leer Noticia Responder Cancelar Respuesta Eliminar Por Inicio PÁGINAS ENTRADAS View All RECOMENDADO PARA TI ETIQUETA ARCHIVOS BUSQUEDA TODAS LAS ENTRADAS No se ha encontrado ninguna coincidencia de publicación con su solicitud. Volver al Inicio Sunday Monday Tuesday Wednesday Thursday Friday Saturday Sun Mon Tue Wed Thu Fri Sat January February March April May June July August September October November December Jan Feb Mar Apr May Jun Jul Aug Sep Oct Nov Dec just now 1 minute ago $$1$$ minutes ago 1 hour ago $$1$$ hours ago Yesterday $$1$$ days ago $$1$$ weeks ago more than 5 weeks ago Followers Follow THIS PREMIUM CONTENT IS LOCKED STEP 1: Share. STEP 2: Click the link you shared to unlock Copy All Code Select All Code All codes were copied to your clipboard Can not copy the codes / texts, please press [CTRL]+[C] (or CMD+C with Mac) to copy