• Saltar al contenido principal
  • Saltar a la barra lateral principal
  • Saltar al pie de página

Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Usted está aquí: Inicio / Malware / Emotet infecta dispositivos conectados a redes Wi-Fi cercanas

Emotet infecta dispositivos conectados a redes Wi-Fi cercanas

10 febrero, 2020 Por Alberto Segura Deja un comentario

Se ha descubierto un nuevo módulo del troyano Emotet que se conecta a redes wifi cercanas y trata de infectar los dispositivos conectados a ellas.

En los últimos días, los investigadores de Binary Defense han detectado una muestra del troyano Emotet que incluye un módulo para buscar redes wifi cercanas al dispositivo infectado e infectar los dispositivos conectados a las mismas.

Éste nuevo módulo no es tan nuevo como parece, ya que el binario del módulo descargado por la muestra analizada fue subido a VirusTotal por primera vez el 4 de junio de 2018. El motivo por el que este módulo ha sido detectado ahora es que no todas las muestras descargan los mismos módulos, y este es uno de los menos utilizados.

Además de que este módulo no es tan popular, también se da el caso de que es el servidor de control el que decide qué módulos proporciona a la víctima. Esto quiere decir que, si el servidor de control solamente envía el módulo a víctimas que cumplen unos requisitos concretos (como su país de residencia) es más complicado que en un entorno controlado por los analistas se consiga descargar este.

El módulo de búsqueda de redes funciona principalmente gracias a un ejecutable para Windows llamado ‘worm.exe’. En el mismo encontramos un bucle principal que básicamente utiliza ‘wlanAPI.dll’ para obtener la lista de redes wifi cercanas, a las que trata de conectarse.

A screenshot of a computer  Description automatically generated
Código encargado de listar las redes wifi cercanas

Una vez obtenida la lista de redes cercanas, el módulo continúa con la fase de fuerza bruta para conectarse a todas las redes posibles. Si es capaz de conectarse a alguna de las redes, el siguiente paso es enumerar los dispositivos conectados a la misma y sus carpetas compartidas. Tras este paso, comienza el ataque de fuerza bruta para determinar los nombres de usuario y contraseñas para acceder a los recursos compartidos.

Tras la fuerza bruta, si ha conseguido acceso a los ficheros compartidos, este módulo acabará almacenando el ejecutable ‘service.exe’ que fue descargado junto a ‘worm.exe’. ‘service.exe’ es el payload que se encargará de realizar la infección del nuevo dispositivo.

Desde Hispasec recomendamos tener siempre mucho cuidado con las redes wifi públicas, además de cambiar la contraseña por defecto de su red wifi por una contraseña más segura.

Más información:

Análisis Binary Defense: https://www.binarydefense.com/emotet-evolves-with-new-wi-fi-spreader/

Compártelo:

  • Twitter
  • Facebook
  • LinkedIn
  • Reddit
  • Telegram
  • WhatsApp

Publicaciones relacionadas

Libros recomendados

Pentesting con FOCA

Machine Learning aplicado a Ciberseguridad

Bitcoin

Publicado en: Malware Etiquetado como: emotet, malware, troyano

Interacciones con los lectores

Deja una respuesta Cancelar la respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Barra lateral principal

Buscador

Email Newsletter

Suscríbase y reciba Una al Día en su correo.

UADCAST

Populares de UAD

  • Troyano bancario Coper afecta a nuevas entidades alrededor del mundo.
  • La Europol detiene a una banda responsable de robar millones a través de ataques phishing.
  • Un contratista municipal sale de copas después del trabajo y pierde un pendrive con datos personales de casi medio millón de residentes
  • NSO Group confirma que el software espía Pegasus ha sido utilizado por al menos 5 países europeos
  • La estafa del “Servicio de Verificación DHL”

Entradas recientes

  • La Europol detiene a una banda responsable de robar millones a través de ataques phishing.
  • Troyano bancario Coper afecta a nuevas entidades alrededor del mundo.
  • Un contratista municipal sale de copas después del trabajo y pierde un pendrive con datos personales de casi medio millón de residentes
  • NSO Group confirma que el software espía Pegasus ha sido utilizado por al menos 5 países europeos
  • El Bridge Horizon de Harmony Protocol, sufre un robo de 100 Millones de dólares
  • Microsoft Defender de Windows ya está disponible para Android e iOS
  • DFSCoerce : NTLM Relay en MS-DFSNM
  • Correo electrónico
  • Facebook
  • LinkedIn
  • RSS
  • Twitter

Footer

Una al Día

Una Al Día nació a raíz de un inocente comentario en un canal IRC hace casi 19 años. A través de los archivos, un lector curioso puede ver cómo ha cambiado (o no) la seguridad de la información desde entonces.

Entradas recientes

  • La Europol detiene a una banda responsable de robar millones a través de ataques phishing.
  • Troyano bancario Coper afecta a nuevas entidades alrededor del mundo.
  • Un contratista municipal sale de copas después del trabajo y pierde un pendrive con datos personales de casi medio millón de residentes
  • NSO Group confirma que el software espía Pegasus ha sido utilizado por al menos 5 países europeos
  • El Bridge Horizon de Harmony Protocol, sufre un robo de 100 Millones de dólares

Etiquetas

0-day Android Apple Chrome Ciberataque cve D-Link Facebook Google iOS leak linux malware Microsoft Mozilla OpenSSL Oracle OS X Phishing PHP ransomware rce vulnerabilidad vulnerabilidades Windows WordPress

Copyright © 2022 · Hispasec

 

Cargando comentarios...