Emotet, печально известный троян, стоящий за рядом спам-кампаний и атак вымогателей, основанных на бот-сетях, нашел новый вектор атаки: использование уже зараженных устройств для выявления новых жертв, подключенных к ближайшим сетям Wi-Fi.
По словам исследователей из Binary Defense , недавно обнаруженный образец Emotet использует модуль «Wi-Fi spreader» (Распределитель Wi-Fi) для сканирования сетей Wi-Fi, а затем пытается заразить подключенные к ним устройства.
Фирма по кибербезопасности заявила, что у разбрасывателя Wi-Fi есть временная метка 16 апреля 2018 года, указывающая, что режим распространения работает «незамеченным» в течение почти двух лет, пока он не был обнаружен впервые в прошлом месяце.
Как работает модуль разбрасывателя Wi-Fi от Emotet?
Обновленная версия вредоносного ПО работает за счет использования уже скомпрометированного хоста для составления списка всех близлежащих сетей Wi-Fi. Для этого он использует интерфейс wlanAPI для извлечения SSID, уровня сигнала, метода аутентификации (WPA, WPA2 или WEP) и режима шифрования, используемого для защиты паролей.
Получив таким образом информацию для каждой сети, червь пытается подключиться к сетям, выполняя атаку методом перебора, используя пароли, полученные из одного из двух внутренних списков паролей. Если соединение не установлено, оно переходит к следующему паролю в списке. Не сразу понятно, как этот список паролей был составлен.
Но если операция завершается успешно, вредоносная программа соединяет скомпрометированную систему во вновь доступной сети и начинает перечислять все не скрытые общие ресурсы. Затем он проводит второй раунд атаки методом перебора, чтобы угадать имена пользователей и пароли всех пользователей, подключенных к сетевому ресурсу.
После успешного подбора пользователей и их паролей червь переходит к следующему этапу, устанавливая вредоносные полезные данные, называемые «service.exe», на вновь зараженные удаленные системы. Чтобы скрыть его поведение, полезная нагрузка устанавливается как системная служба Защитника Windows (WinDefService).
Тот факт, что Emotet может переходить из одной сети Wi-Fi в другую, заставляет компании защищать свои сети надежными паролями для предотвращения несанкционированного доступа. Вредоносное ПО также может быть обнаружено путем активного мониторинга процессов, выполняющихся из временных папок и папок данных приложения профиля пользователя.
Emotet: от банковского трояна до вредоносного ПО
Emotet, впервые идентифицированный в 2014 году, превратился из своего первоначального корня в качестве банковского трояна в «швейцарский армейский нож», который может служить загрузчиком, похитителем информации и спамботом в зависимости от того, как он развернут.
На протяжении многих лет он также был эффективным механизмом доставки вымогателей. ИТ-сеть Лейк-Сити была повреждена в июне прошлого года после того, как сотрудник непреднамеренно открыл подозрительное электронное письмо с загрузкой трояна Emotet, который, в свою очередь, загрузил трояна TrickBot и вымогателей Ryuk.
Несмотря на то, что кампании Emotet в значительной степени исчезли в течение лета 2019 года, в сентябре они вернулись через «электронные письма с географическим адресом с приманками и брендами на местном языке. Часто финансовыми по теме, и с использованием вредоносных вложений документов или ссылок на аналогичные документы, которые, когда пользователи включали макросы, устанавливали Emotet».
«Благодаря этому недавно обнаруженному типу загрузчика, используемому Emotet, в возможности Emotet вводится новый вектор угроз», — заключили исследователи Binary Defense. «Emotet может использовать этот тип загрузчика для распространения через близлежащие беспроводные сети, если в сетях используются небезопасные пароли».