Este malware remonta de 2014, tendo sido concebido para roubar informação sensível. É uma tipologia de worm, o que significa que é feito para se expandir a outros sistemas informáticos.

Processo de infeção

O malware usa em primeira mão técnicas de engenharia social, como emails, com links para que a vítima faça o download. A partir daí, é lançado um módulo chamado Wi-Fi Spreader que fica na pasta ProgramData. Esse binário baixado contém um ficheiro .rar que se autoextrai, tirando outros dois binários - service.exe e worm.exe - os quais são usados para expandir a infeção através da rede Wifi.

O executável worm.exe é usado para espalhar o malware, e assim que executado copia o service.exe para uma variável e, dessa forma, usá-la para se espalhar. Seguidamente, é chamada a classe wlanAPI.dll usada pela rede Wifi por natureza para gerir os perfis das redes wireless.

Processo de comprometimento da rede Wifi

Depois da conexão estar estabelecida, o vírus começa a enumerar utilizadores através de brute-force. Depois, o binário service.exe é usado como payload instalado pelo worm.exe na máquina, sendo que uma vez instalado irá comunicar com o servidor de C2 e executar o binário que está embutido no service.exe

Mais informações: https://www.helpnetsecurity.com/2020/02/06/emotet-spread-wi-fi-networks/