Emotet es un troyano altamente sofisticado que comúnmente también es utilizado para cargar otros malware. Una de las principales funciones de Emotet es su habilidad de enviar módulos personalizados o complementos (plugins) para ser utilizados en una tarea en especifica, como robar contactos del gestor de correos Outlook, o replegarse por la red local (LAN).
Recientemente un grupo de investigadores han identificado un nuevo tipo de inyector que se aprovecha de la interfaz “wlanAPI” para enumerar todas las redes Wi-Fi en un área cercana y esparcirse por dichas redes inalámbricas, infectando todos los dispositivos que pueda en el proceso.
Descripción general de esparcimiento de Emotet por Wi-Fi
El protocolo de Emotet está basado en “Protobufs de Google” el cual es un lenguaje neutral para señalizar los datos enviados desde y hacia el servidor, dicha señalización es definida por medio de mensajes de búfer de protocolo en un archivo “.proto”. En cambio Emotet utiliza varios de estos mensajes para propagarse, uno de los mensajes enviados por el servidor con datos para ser cargados y ejecutados, es el siguiente:
message Deliverable {
required int32 ID = 1;
required int32 executeFlag = 2;
required bytes blob = 3;
}
Donde “ID” es el módulo identificador, “blob” es el data binario, y “excuteFlag” determina como el binario va a ser cargado. De manera que “executeFlag” puede ser uno de los siguientes:
- Reservado para cargas útiles (payloads) y ejecutables únicos, como Trickbot. Así como inyecciones a “C:\ProgramData" y ejecutables.
- Igual a la escritura 1, pero duplica el token de los usuarios.
- Carga el binario en la memoria. Comúnmente usado por los módulos, principalmente son archivos DLLs que pueden ser cargados fácilmente en la memoria.
El primer binario para su esparcimiento por las redes Wi-Fi llega a un sistema con un módulo “ID= 5079” y un “executeFlag= 1”, lo que significa que puede ser inyectado en "C:\ProgramData" antes de ejecutar cargar de actualizaciones o otros malware, como TrickBot. Este binario inicial es un archivo “RAR” (archivo comprimido) de tipo extraído por sí mismo (self-extracting), el cual contiene dos binarios usados en el esparcimiento Wi-Fi, “service.exe” y “worm.exe”, donde worm.exe está configurado como un archivo de instalación, lo que significa que es ejecutado automáticamente una vez el archivo “RAR” a sido descomprimido.
Extracción del RAR
La primera acción de "worm.exe" es la de copiar la cadena de "service.exe", variable que usará durante la propagación del archivo. Luego, inicia su bucle principal, comenzando a crear perfiles de las redes inalámbricas usando llamadas “wlanAPI.dll” para esparcirse a cualquier red que pueda acceder, siendo “wlanAPI.dll” una de las bibliotecas utilizadas por “Native Wi-Fi” para administrar perfiles de conexiones y redes inalámbricas.
Cabe destacar que es posible que antes no se detectará esta característica, es debido a que los investigadores ejecutaban el malware en entornos controlados, como sandboxs sin una tarjeta Wi-Fi simulada o integrada.
Indicadores de Compromiso (IoC)
Worm.exe (hash)
077eadce8fa6fc925b3f9bdab5940c14c20d9ce50d8a2f0be08f3071ea493de8
Service.exe (hash)
64909f9f44b02b6a4620cdb177373abb229624f34f402335ecdb4d7c8b58520b
Comando y Control (C2)
87[.]106[.]37[.]146[:]8080
45[.]79[.]223[.]161[:]443
Fuente:
COMENTARIOS