Categories: SicherheitVirus

Neue Emotet-Variante verbreitet sich über WLAN-Verbindungen

Forscher von Binary Defense haben eine neue Variante des Trojaners Emotet entdeckt. Sie erweitert die Möglichkeiten der Schadsoftware erheblich. Bisher konnte sich Emotet nur innerhalb eines Netzwerks verbreiten und damit verbundene Computer und Server infizieren – eine Netzwerk-Segmentierung schränkte die Verbreitung von Emotet deutlich ein. Nun ist es der Malware jedoch möglich, diese Grenzen per WLAN zu überspringen und so von einem Netzwerk zu einem anderen zu gelangen.

Das dafür benötigte neue Modul bezeichnen die Forscher als WiFi Spreader. Es funktioniert allerdings nur unter bestimmten Bedingungen. Vor allem ist es darauf angewiesen, dass WLAN-Netzwerke mit schwachen Passwörtern gesichert sind – was den Hintermännern von Emotet trotzdem neue Optionen bietet, ihre Reichweite zu vergrößern.

Die neue Angriffen richten sich gegen WLAN-Netzwerke in Reichweite des infizierten Netzwerks – Emotet kann so also auch vom Netzwerk eines Unternehmens auf das Netzwerk eines anderen Unternehmens überspringen.

Zu diesem Zweck lädt Emotet das WiFi-Spreader-Modul herunter, das anschließend alle WLAN-Geräte im eigenen Netzwerk sowie die lokal erreichbaren WLAN-Netz erfasst. Danach erfolgen Brute-Force-Angriffe auf die WLAN-Netze in der Nähe. Die Passwörter bezieht Emotet von zwei internen Listen mit leicht zu erratenden Kennwörtern.

War ein Angriff erfolgreich, hat Emotet einen direkten Zugang zu einem anderen Netzwerk, aber noch keinen Zugriff auf einen Computer oder Server in diesem Netzwerk. Mit einem weiteren Brute-Force-Angriff wird nun versucht, Anmeldedaten für Computer und Server in diesem Netzwerk zu erraten. Ist auch diese Attacke erfolgreich, hat Emotet auch einen Brückenkopf in dem neuen Netzwerk und der Infektionskreislauf kann von Neuem beginnen.

Den Forschern zufolge funktioniert der WiFi Spreader nicht unter Windows XP SP2 und SP3. Außerdem lege der Zeitstempel des Moduls nahe, dass es bereits vor zwei Jahren entwickelt wurde. Es sei allerdings das erste Mal, dass das Modul auch erkannt wurde.

ANZEIGE

Auf zu neuen Höhen mit SkySQL, der ultimativen MariaDB Cloud

In diesem Webinar stellen wir Ihnen SkySQL vor, erläutern die Architektur und gehen auf die Unterschiede zu anderen Systemen wie Amazon RDS ein. Darüber hinaus erhalten Sie einen Einblick in die Produkt-Roadmap, eine Live-Demo und erfahren, wie Sie SkySQL innerhalb von nur wenigen Minuten in Betrieb nehmen können.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Black Friday: Vorsicht vor schädlichen QR-Codes

Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.

21 Stunden ago

Black Friday: Zahl der ominösen Shopping-Websites steigt

Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.

21 Stunden ago

SmokeBuster bekämpft SmokeLoader

Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.

1 Tag ago

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

2 Tagen ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

2 Tagen ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

2 Tagen ago