Emotet nutz eine bislang nicht bekannte Methode, sich weiter in schlecht gesicherte Funknetze auszubreiten.
Hierbei nutz Emotet demnach mehrere Methoden, um sich nach einer Infektion weiter zu verbreiten. Offenbar attackiert der Schädling gezielt WLANs, um Zugriff auf weitere potenzielle Opfer zu erhalten. Wie die Sicherheitsforscher von Binary Search berichteten, kommt dabei eine interne Passwortliste zum Einsatz.
Bei seinen Versuchen, weitere Opfer zu finden, auf die aktive Netzwerkverbindung der Infizierten Rechner, beschränkte sich Emotet bislang ein. Jedoch entdeckte Binary Search bei einer Emotet-Analyse ein sich selbst auspackendes RAR-Archiv, dessen Programme worm.exe und service.exe bislang unbekannte Aktivitäten entfalten. Eine Liste aller sichtbaren Funknetze erstellte sie auf Rechnern mit WLAN. Anschließend versuchte der Schädling, sich dort anzumelden und probierte dazu systematisch Passwörter aus einer Liste durch.
Bislang Alt aber nicht unbekannt kommt dann das übliche Emotet-Programm zum Einsatz, um auch die WLAN vorgefundenen Windows-Rechner zu infizieren. Ins besonders gehörte der Zugriff auf Dateifreigaben und Windows- beziehungsweise Actice-Directory-Konten. Somit Informierte der Schädling alle Namen der Funknetze und deren Passwörter an seinem Command and Control Server (C2).
James Quinn von Binary Defense erklärte gegenüber helpnet Security, dass dieses WLAN-Modul fast zwei Jahre alt sei – man selbst habe es aber erst am 23. Januar 2020 beobachtet. Bislang war auch von anderer Quelle zu derartigen Aktivitäten berichtet worden. Bisher sind keine eindeutigen Informationen veröffentlicht worden, nach denen Forensiker suchen könnten (Indicatorsof Compromise, IoCs). Lediglich in einer Grafik sind zwei C2-IPs aufgeführt: 87.106.37.146 und 45.79.223.161. Klar ist aber nicht dadurch, ob diese nicht auch bei gewöhnlichen Emotet-Aktivitäten genutzt wurden.