Peneliti keamanan di Binary Defense baru-baru ini menemukan sampel Trojan Emotet yang menampilkan modul Wi-Fi worm yang memungkinkan malware menyebar melalui jaringan nirkabel yang tidak aman ke korban baru.
Strain baru ini menggunakan panggilan wlanAPI.dll untuk menemukan jaringan nirkabel di sekitar komputer yang sudah terinfeksi Emotet. Dengan menggunakan koneksi Wi-Fi mesin yang disusupi, malware mencoba memaksa masuk ke jaringan lain yang dilindungi kata sandi di dekatnya.
Setelah perangkat yang dikompromikan berhasil terhubung ke jaringan nirkabel lain, Trojan Emotet mulai mencari perangkat Windows lain dengan bagian yang tidak tersembunyi. Malware kemudian memindai semua akun di perangkat ini dan sekali lagi memaksa kata sandi untuk akun Administrator dan semua pengguna lain di sistem.
Akhirnya worm mendapatkan kegigihan pada sistem dengan menjatuhkan muatan berbahaya dalam bentuk biner service.exe yang menginstal layanan baru yang disebut “Layanan Sistem Pembela Windows”.
Penyebar Wi-Fi yang belum ditemukan
Dalam sebuah posting blog (terbuka di tab baru) merinci temuan mereka, para peneliti di Binary Defense menjelaskan bahwa kemampuan Emotet untuk menyebar melalui Wi-Fi tidak terdeteksi selama hampir dua tahun, dengan mengatakan:
“Worm.exe adalah executable utama yang digunakan untuk menyebarkan. Eksekusi ini memiliki stempel waktu 16/04/2018 dan pertama kali dikirimkan ke VirusTotal pada 04/05/2018. Eksekusi dengan stempel waktu ini berisi alamat IP hard-coded dari server Command and Control (C2) yang digunakan oleh Emotet. Ini mengisyaratkan bahwa perilaku penyebaran Wi-Fi ini telah berjalan tanpa disadari selama hampir dua tahun.”
Alasan mengapa perilaku penyebaran Wi-Fi tidak diketahui begitu lama adalah karena jarangnya biner dijatuhkan. Menurut Pertahanan Biner, 23 Januari 2020 menandai pertama kalinya perusahaan mengamati file yang dikirimkan oleh Emotet meskipun faktanya itu termasuk dalam malware sejak 2018.
Alasan lain yang belum ditemukan mungkin karena modul tidak menampilkan perilaku penyebaran pada mesin virtual dan kotak pasir otomatis tanpa kartu Wi-Fi yang digunakan peneliti untuk membedah jenis malware baru.
Emotet sudah menimbulkan risiko serius sebelumnya, tetapi sekarang malware dapat menyebar melalui jaringan Wi-Fi dengan kata sandi sederhana, berharap organisasi mengambil tindakan pencegahan tambahan untuk mencegah menjadi korbannya.
Melalui Komputer Bleeping (terbuka di tab baru)