EmotetマルウェアがWi-Fiネットワークを介して拡散できるようになりました

Binary Defensesのセキュリティ研究者たちは、感染したシステムの範囲内にあるWi-Fiネットワークをハッキングできる新しいバリアントのEmotetトロイの木馬を最近発見しました。

Emotetは、元々銀行トロイの木馬として設計されたマルウェアの一種で、ブラウザに保存されたユーザー資格情報などのデータを盗み、他の種類のマルウェアやランサムウェアをインストールし、ボットネットを形成することができます。ネットワークをスキャンしてSSID、暗号化タイプ、認証方法を特定します。

また読む - WPA/WPA2攻撃を使用してWiFiパスワードをハッキングする方法

新たに発見されたEmotetサンプルは、「Wi-Fiスプレッダー」モジュールを搭載しており、無防備なWi-Fiネットワークをスキャンし、弱いパスワードやその他のセキュリティの欠陥を利用してそれらに接続されているデバイスを感染させようとします。

「この新たに発見されたEmotetによるローダータイプを使用することで、Emotetの能力に新しい脅威ベクトルが導入されました。以前は悪意のあるスパムや感染したネットワークを介してのみ拡散すると考えられていましたが、Emotetはこのローダータイプを使用して、ネットワークが不安全なパスワードを使用している場合、近くの無線ネットワークを介して拡散することができます」と、Binary Defenseの脅威研究者でマルウェアアナリストのジェームズ・クインはブログ投稿で述べています。

研究者たちは、2020年1月23日にEmotetによってWi-Fiスプレッディングバイナリが配信されているのを最初に確認しました。この実行可能ファイルは2018年4月16日のタイムスタンプを持ち、2018年5月4日にVirusTotalデータベースに初めて提出されました。

これは、Wi-Fi拡散の動作が「気づかれず」に約2年間実行されていたことを示しています。これは、Emotetが2019年8月末に再登場した際のデータがあるにもかかわらず、このバイナリが非常にまれにしかドロップされないためかもしれません。

Emotetはどのように機能するのか？

「私たちは、このマルウェアサンプルを研究のために使用されたEmotetボットから取得し、IDA Proを使用してマルウェアコードをリバースエンジニアリングして、その動作を特定しました」と、Binary Defenseの脅威ハンティングおよび対情報部門のシニアディレクターであるランディ・パーグマンはHelp Net Securityに語りました。

マルウェアがWi-Fi機能を持つコンピュータに感染すると、wlanAPIインターフェースを使用して近くのWi-Fiネットワークを見つけます。

「それらのネットワークが参加するためにパスワードで保護されていても、マルウェアは可能性のあるパスワードのリストを試し、推測したパスワードの1つがWi-Fiネットワークに接続するのに成功すれば、感染したコンピュータをそのネットワークに参加させます」とパーグマンは説明しました。

「ネットワークに接続されると、マルウェアは同じネットワークに接続されている他のコンピュータをスキャンし、ファイル共有が有効になっているWindowsコンピュータを探します。そして、それらのコンピュータ上のすべてのユーザーアカウントのリストを取得し、それらのアカウントや管理者アカウントのパスワードを推測しようとします。推測したパスワードのいずれかが正しければ、マルウェアはそのコンピュータに自分自身をコピーし、他のコンピュータでリモートコマンドを実行してインストールします。」

最終的に、インストールを確認するためにコマンド＆コントロールサーバーに報告します。このようにして、マルウェアはできるだけ多くのデバイスを感染させようとします。

クインは、企業に対して無線ネットワークを保護するために強力なパスワードを使用するよう警告し、Emotetのようなマルウェアがネットワークに不正アクセスできないようにするべきだと述べています。

また読む - Windows 10 PC用のベスト無料アンチウイルスソフトウェア

「この脅威に対する検出戦略には、新しいサービスがインストールされているエンドポイントの積極的な監視や、疑わしいサービスや一時フォルダおよびユーザープロファイルアプリケーションデータフォルダから実行されているプロセスの調査が含まれます」とクインは述べています。「ネットワーク監視も効果的な検出手段であり、通信は暗号化されておらず、マルウェアメッセージの内容を特定する認識可能なパターンがあります。」

発見に関する詳細情報は、こちらの詳細なドキュメントをお読みください。