Phần mềm độc hại Emotet hiện đã hack các mạng Wi-Fi gần đó để lây nhiễm nạn nhân mới

  • 05/03/2020
  • 14:11
Emotet hack hack phần mềm độc hại

Emotet, trojan khét tiếng đằng sau một số chiến dịch spam và ransomware do botnet điều khiển, đã tìm thấy một vectơ tấn công mới: sử dụng các thiết bị đã bị nhiễm để xác định nạn nhân mới được kết nối với mạng Wi-Fi gần đó.

Theo các nhà nghiên cứu tại Binary Defense , mẫu Emotet mới được phát hiện sử dụng mô-đun “bộ phát Wi-Fi” để quét các mạng Wi-Fi và sau đó cố gắng lây nhiễm các thiết bị được kết nối với chúng.

Công ty an ninh mạng cho biết thiết bị phát tán Wi-Fi có dấu thời gian là ngày 16 tháng 4 năm 2018, cho thấy hành vi lan truyền đã hoạt động “không được chú ý” trong gần hai năm cho đến khi nó được phát hiện lần đầu tiên vào tháng trước.

Sự phát triển đánh dấu sự leo thang các khả năng của Emotet, vì các mạng gần với vật lý gần với nạn nhân ban đầu giờ dễ bị nhiễm bệnh.

 

Mô-đun phân phối Wi-Fi của Emotet hoạt động như thế nào?

Phiên bản cập nhật của phần mềm độc hại hoạt động bằng cách tận dụng máy chủ đã bị xâm nhập để liệt kê tất cả các mạng Wi-Fi gần đó. Để làm như vậy, nó sử dụng giao diện wlanAPI để trích xuất SSID, cường độ tín hiệu, phương thức xác thực (WPA, WPA2 hoặc WEP) và chế độ mã hóa được sử dụng để bảo mật mật khẩu.

Khi có được thông tin cho mỗi mạng theo cách này, sâu cố gắng kết nối với các mạng bằng cách thực hiện một cuộc tấn công vũ phu bằng mật khẩu thu được từ một trong hai danh sách mật khẩu nội bộ. Nếu kết nối không thành công, nó sẽ chuyển sang mật khẩu tiếp theo trong danh sách. Không rõ ngay lập tức danh sách mật khẩu này được kết hợp như thế nào.

 

Anot phần mềm độc hại an ninh mạng

Nhưng nếu hoạt động thành công, phần mềm độc hại sẽ kết nối hệ thống bị xâm nhập trên mạng mới truy cập và bắt đầu liệt kê tất cả các cổ phần không bị ẩn. Sau đó, nó thực hiện một cuộc tấn công vũ phu thứ hai để đoán tên người dùng và mật khẩu của tất cả người dùng được kết nối với tài nguyên mạng.

Sau khi đã xử lý thành công người dùng và mật khẩu của họ, con sâu chuyển sang giai đoạn tiếp theo bằng cách cài đặt các tải trọng độc hại – được gọi là “service.exe” – trên các hệ thống từ xa mới bị nhiễm. Để che giấu hành vi của nó, tải trọng được cài đặt dưới dạng Dịch vụ Hệ thống Bảo vệ Windows (WinDefService).

Ngoài việc liên lạc với máy chủ chỉ huy và kiểm soát (C2), dịch vụ này hoạt động như một trình nhỏ giọt và thực thi nhị phân Emotet trên máy chủ bị nhiễm.

Việc Emotet có thể nhảy từ mạng Wi-Fi này sang mạng khác đặt các công ty lên mạng để bảo mật mạng của họ bằng mật khẩu mạnh để ngăn chặn truy cập trái phép. Phần mềm độc hại cũng có thể được phát hiện bằng cách chủ động theo dõi các quá trình đang chạy từ các thư mục tạm thời và các thư mục dữ liệu ứng dụng hồ sơ người dùng.

 

Emotet: Từ Trojan ngân hàng đến Trình tải phần mềm độc hại

Emotet, lần đầu tiên được xác định vào năm 2014, đã biến đổi từ nguồn gốc ban đầu của nó thành một Trojan ngân hàng thành “con dao quân đội Thụy Sĩ” có thể đóng vai trò là người tải xuống, kẻ đánh cắp thông tin và spambot tùy thuộc vào cách nó được triển khai.

Trong những năm qua, nó cũng là một cơ chế phân phối hiệu quả cho ransomware. Mạng CNTT của Lake City đã bị tê liệt vào tháng 6 năm ngoái sau khi một nhân viên vô tình mở một email đáng ngờ đã tải xuống Emotet Trojan, sau đó đã tải xuống TrickBot trojan và Ryuk ransomware.

Mặc dù các chiến dịch do Emotet điều khiển phần lớn đã biến mất trong suốt mùa hè năm 2019, nhưng nó đã trở lại vào tháng 9 thông qua “các email được nhắm mục tiêu theo địa lý với các mồi và nhãn hiệu ngôn ngữ địa phương, thường là tài chính theo chủ đề và sử dụng các tệp đính kèm tài liệu độc hại hoặc liên kết đến các tài liệu tương tự, khi người dùng kích hoạt macro, đã cài đặt Emotet.”

“Với loại trình tải mới được phát hiện này được sử dụng bởi Emotet, một vectơ đe dọa mới được giới thiệu cho các khả năng của Emotet,” các nhà nghiên cứu của Binary Defense kết luận. “Emotet có thể sử dụng loại trình tải này để phát tán qua các mạng không dây gần đó nếu các mạng sử dụng mật khẩu không an toàn.”

https://thehackernews.com/

 

  • Nguồn tin: