Nare Emotet Windows-malware verspreidt zich via wifi-netwerken

Een nieuwe variant van de beruchte Emotet-malware voor Windows kan zich draadloos verspreiden door wachtwoorden van wifi-netwerken te achterhalen met brute kracht. Vervolgens scant de malware gedeelde schijven om zich verder te verspreiden. 

De nieuwe malware is een wormificatie van de trojan-aanval. Het werd ontdekt door onderzoekers van Binary Defense. Uit tijdstempels in de code concluderen de onderzoekers dat de malware mogelijk al twee jaar ongemerkt werd verspreid voordat ze afgelopen januari werd ontdekt.

Voorheen dacht men dat Emotet zich alleen kon verspreiden via spam en aangetaste netwerken. Nu blijkt dat de malware zich ook kan verspreiden via draadloze netwerken in de buurt, als deze netwerken onveilige wachtwoorden gebruiken. 

Wat de Emotet-malware doet

Zodra de malware is geïnstalleerd op een computer downloadt en laadt het programma twee nieuwe programma’s. Deze pakken zichzelf uit en openen wlanAPI.dll, een legitieme Windows code-bibliotheek om te verbinden met wifi-netwerken. Via deze bibliotheek verzamelt de malware wifi-netwerken in de buurt en probeert hij verbinding te maken. Als het netwerk is beveiligd met een wachtwoord, probeert het programma om met brute kracht het wachtwoord te achterhalen. 

Nadat de malware verbinding maakt via wifi, probeert het de gebruikers- en administrator-wachtwoorden te achterhalen. Zo kan de malware inloggen en de computer aantasten. Dit proces blijft zich herhalen en Emotet verspreidt zich steeds verder. Dit alle gebeurt zonder dat de gebruiker van de aangetaste computer er iets van merkt. 

Zodra Emotet op een computer staat, kunnen de hackers nog meer vervelende programma’s installeren, zoals ransomware of trojans die de online bankrekeningen van een gebruiker kapen. 

Bescherming tegen malware

Volgens de onderzoekers van Binary Defense, hint de tijdstempel erop dat Emotet zich al bijna twee jaar ongemerkt verspreidt via wifi-netwerken. Een mogelijke verklaring hiervoor is dat de malware niet vaak wordt geactiveerd. Een andere mogelijkheid is dat bug-hunters de malware niet opmerkten. Voor scans kan het lijken dat de trojan niets uitvoert. Dit kan een bewuste maatregel zijn of een toevallige bijkomstigheid voor de hackers die achter de malware zitten. 

Het is vooral belangrijk om beschermende maatregelen te blijven nemen tegen dergelijke malware. Een goede bescherming begint bij het regelmatig updaten van de systeem- en antivirussoftware. Ook is het een goed idee om authenticatieprocedures te gebruiken die niet zomaar achterhaald kunnen worden met brute kracht.