Вредоносное ПО Emotet теперь может распространяться через Wi-Fi сети

Исследователи безопасности из Binary Defenses недавно обнаружили новый вариант трояна Emotet, который может взламывать Wi-Fi сети, находящиеся в пределах досягаемости зараженной системы.

Emotet, вид вредоносного ПО, изначально разработанный как банковский троян, может красть данные, такие как учетные данные пользователей, хранящиеся в браузере, устанавливать другие виды вредоносного ПО и программ-вымогателей, а также формировать ботнеты. Он сканирует сети, чтобы определить SSID, тип шифрования и методы аутентификации.

Также читайте - Как взломать пароль WiFi с помощью атаки WPA/WPA2

Недавно обнаруженный образец Emotet включает модуль “Wi-Fi спредер“ для сканирования незащищенных Wi-Fi сетей, а затем пытается заразить устройства, подключенные к ним, используя слабые пароли и другие уязвимости безопасности.

“С этим новым загружаемым типом, используемым Emotet, вводится новый вектор угроз для возможностей Emotet. Ранее считалось, что он распространяется только через вредоносный спам и зараженные сети, Emotet может использовать этот загружаемый тип для распространения через близлежащие беспроводные сети, если сети используют небезопасные пароли,” - написал Джеймс Куин, исследователь угроз и аналитик вредоносного ПО компании Binary Defense, в блоге.

Исследователи впервые заметили бинарный файл для распространения Wi-Fi, доставляемый Emotet, 23 января 2020 года. Исполняемый файл имеет временную метку 16.04.2018, который впервые был представлен в базе данных VirusTotal 04.05.2018.

Это указывает на то, что поведение распространения Wi-Fi работало “незамеченным” почти два года. Это может быть отчасти связано с тем, как редко бинарный файл загружается, несмотря на наличие данных, начиная с момента, когда Emotet вернулся в конце августа 2019 года.

Как работает Emotet?

“Мы получили этот образец вредоносного ПО от бота Emotet, используемого для исследований, и реверс-инженерили код вредоносного ПО с помощью IDA Pro, чтобы определить, как он работает,” - сказал Рэнди Парджман, старший директор по охоте за угрозами и контрразведке в Binary Defense, в интервью Help Net Security.

Как только вредоносное ПО заражает компьютер с возможностью Wi-Fi, оно использует интерфейс wlanAPI для поиска любых Wi-Fi сетей в ближайшей области.

“Даже если эти сети защищены паролем, необходимым для подключения, вредоносное ПО пробует список возможных паролей, и если один из угаданных паролей работает для подключения к Wi-Fi сети, оно подключает зараженный компьютер к этой сети,” - объяснил Парджман.

“Как только оно находится в сети, вредоносное ПО сканирует все другие компьютеры, подключенные к той же сети, на наличие любых компьютеров с Windows, у которых включен общий доступ к файлам. Затем оно получает список всех учетных записей пользователей на этих компьютерах и пытается угадать пароли для этих учетных записей, а также для учетной записи администратора. Если любой из угаданных паролей верен, вредоносное ПО копирует себя на этот компьютер и устанавливает себя, запуская удаленную команду на другом компьютере.”

В конечном итоге оно отправляет отчет на сервер командования и управления, чтобы подтвердить установку. Таким образом, вредоносное ПО пытается заразить как можно больше устройств.

Куин предупреждает компании использовать надежные пароли для защиты беспроводных сетей, чтобы такие вредоносные программы, как Emotet, не могли получить несанкционированный доступ к сети.

Также читайте - Лучшее бесплатное антивирусное ПО для Windows 10 ПК

“Стратегии обнаружения этой угрозы включают активный мониторинг конечных точек на предмет установки новых служб и расследование подозрительных служб или любых процессов, работающих из временных папок и папок данных приложений пользовательских профилей,” - отмечает Куин. “Мониторинг сети также является эффективным методом обнаружения, поскольку коммуникации не зашифрованы, и существуют распознаваемые шаблоны, которые идентифицируют содержание сообщений вредоносного ПО.”

Для получения дополнительной информации о находках вы можете прочитать подробную документацию здесь.