10.02.2020

Datenschutz/ Februar 10, 2020/ News

Malware Emotet greift WLANs an

Emotet nutzt offenbar eine bislang nicht bekannte Methode, sich weiter auszubreiten: Er klinkt sich in schlecht gesicherte Funknetze ein.

Emotet nutzt mehrere Methoden, sich nach einer Infektion weiter im System zu verbreiten. Neu ist, dass der Schädling offenbar gezielt WLANs attackiert, um Zugriff auf weitere potentielle Opfer zu erhalten. Dabei kommt offenbar eine interne Passwortliste zum Einsatz, wie die Sicherheitsforscher von Binary Search berichten.

Bislang beschränkte sich Emotet bei seinen Versuchen, weitere Opfer zu finden, auf die aktive Netzwerkverbindung der infizierten Rechner. Binary Search entdeckte jedoch bei einer Emotet-Analyse ein sich selbst auspackendes RAR-Archiv, dessen Programme worm.exe und service.exe bislang unbekannte Aktivitäten entfalten. Auf Rechnern mit WLAN erstellen sie eine Liste aller sichtbaren Funknetze. Anschließend versucht der Schädling, sich dort anzumelden und probiert dazu systematisch Passwörter aus einer Liste durch.

Alt aber bislang unbekannt:

Im nächsten Schritt kommt dann das übliche Emotet-Programm zum Einsatz, um auch die im WLAN vorgefundenen Windows-Rechner zu infizieren. Dazu gehört insbesondere der Zugriff auf Dateifreigaben und Windows- beziehungsweise Actice-Directory-Konten. Alle Informationen und insbesondere die Namen der Funknetze und deren Passwörter meldet der Schädling seinem Command and Control Server, dieses WLAN-Modul ist bereits fast zwei Jahre alt. Es wurde erstmals am 23.Januar beobachtet und erkannt.

Gegen halbwegs brauchbare WLAN-Passwörter kann ein solcher Brute-Force-Angriff nichts ausrichten. Wer jedoch Standardpasswörter einsetzt, die auf einschlägigen Listen auftauchen, sollte das spätestens jetzt schleunigst ändern – nicht nur wegen Emotet.