Malware Emotet greift WLANs an
Emotet nutzt offenbar eine bislang nicht bekannte Methode, sich weiter auszubreiten: Er klinkt sich in schlecht gesicherte Funknetze ein.
Emotet nutzt mehrere Methoden, sich nach einer Infektion weiter zu verbreiten. Neu ist, dass der Schädling offenbar gezielt WLANs attackiert, um Zugriff auf weitere potentielle Opfer zu erhalten. Dabei kommt offenbar eine interne Passwortliste zum Einsatz, wie die Sicherheitsforscher von Binary Search berichten.
Bislang beschränkte sich Emotet bei seinen Versuchen, weitere Opfer zu finden, auf die aktive Netzwerkverbindung der infizierten Rechner. Binary Search entdeckte jedoch bei einer Emotet-Analyse ein sich selbst auspackendes RAR-Archiv, dessen Programme worm.exe und service.exe bislang unbekannte Aktivitäten entfalten. Auf Rechnern mit WLAN erstellen sie eine Liste aller sichtbaren Funknetze. Anschließend versucht der Schädling, sich dort anzumelden und probiert dazu systematisch Passwörter aus einer Liste durch.
Alt aber bislang unbekannt
Im nächsten Schritt kommt dann das übliche Emotet-Programm zum Einsatz, um auch die im WLAN vorgefundenen Windows-Rechner zu infizieren. Dazu gehört insbesondere der Zugriff auf Dateifreigaben und Windows- beziehungsweise Actice-Directory-Konten. Alle Informationen und insbesondere die Namen der Funknetze und deren Passwörter meldet der Schädling seinem Command and Control Server (C2).
Gegenüber helpnet Security erklärt James Quinn von Binary Defense, dass dieses WLAN-Modul bereits fast zwei Jahre alt sei. Man selbst habe es allerdings erstmals am 23. Januar 2020 beobachtet. Auch in anderen Quellen war bislang nichts zu derartigen Aktivtäten berichtet worden. Leider hat Binary Defense bisher keine eindeutigen Informationen veröffentlicht, nach denen Forensiker suchen könnten (Indicators of Compromise, IoCs). Lediglich in einer Grafik sind zwei C2-IPs aufgeführt: 87.106.37.146 und 45.79.223.161. Es ist aber nicht klar, ob diese nicht auch bei gewöhnlichen Emotet-Aktivitäten genutzt wurden.
Gegen halbwegs brauchbare WLAN-Passwörter kann ein solcher Brute-Force-Angriff nichts ausrichten. Wer jedoch Standardpasswörter einsetzt, die auf einschlägigen Listen auftauchen, sollte das spätestens jetzt schleunigst ändern – nicht nur wegen Emotet.
Zu aktuellen Berichten, Hintergrund-Informationen und Abhilfe gegen Emotet siehe:
- Emotet – Schadsoftware zielt auf Unternehmens-IT
- Emotet, Trickbot, Ryuk – ein explosiver Malware-Cocktail
Update 7.2.2020 16:00: Binary Defense hat jetzt eine detaillierte Analyse des beobachteten Emotet-Angriffs auf WLAN-Netze veröffentlicht. Diese enthält neben den beiden bereits erwähnten IP-Adressen auch Hash-Werte der involvierten Dateien und Suricata-Regeln, mit denen das Open-Source-IPS den "Emotet Wi-Fi Spreader" erkennen kann. (ju)
