Троян Emotet пытается распространяться через ближайшие сети Wi-Fi

Аналитики компании Binary Defense заметили, что новая версия трояна Emotet ведет себя как Wi-Fi червь, то есть пытается распространяться и заражать новых жертв через доступные поблизости сети Wi-Fi.

Исследователи рассказывают, что для обнаружения ближайших Wi-Fi сетей малварь задействует wlanAPI.dll на уже зараженной машине. Обнаружив доступную сеть, Emotet пытается брутфорсом подобрать учетные данные, чтобы проникнуть в нее. В случае успеха малварь ищет в новой сети любые Windows-машины, которые так же можно подвергнуть заражению.

Все аккаунты на таких потенциально доступных устройствах подвергаются сканированию, и вредонос пытается брутфорсом проникнуть в учетные записи администратора и других пользователей. Если взлом удался, Emotet доставляет на машину полезную нагрузку в виде файла service.exe и создает службу Windows Defender System Service, чтобы надежно закрепиться в системе.

Для заражения других устройств через Wi-Fi троян, в числе прочего, использует бинарник worm.exe, изученный образец которого был датирован апрелем 2018 года. Он содержал жестко закодированный IP-адрес управляющего сервера, ранее уже замеченного в связи с Emotet.  Эксперты пишут, что это позволяет предложить, что распространение через Wi-Fi использовалось малварью и оставалось незамеченным на протяжении почти двух лет.

Исследователи считают, что это отчасти может быть связано с тем, как редко используется этот бинарник. Так, впервые он был обнаружен специалистами 23 января 2020 года, хотя Binary Defense пристально наблюдала за действиями Emotet с августа 2019 года, когда малварь вернулась к активной деятельности после перерыва. Вероятно, компонент червя вообще не применяется, если малварь понимает, что имеет дело с виртуальной машиной или работает в песочнице.

Еще один исполняемый файл, который троян использует для распространения через Wi-Fi, это service.exe. Он тоже имеет любопытную особенность: хотя он использует порт 443 Transport Layer Security (TLS) для связи с управляющим сервером, по сути, подключение идет по незашифрованному HTTP.

Аналитики Binary Defense рекомендуют использовать надежные пароли для защиты беспроводных сетей, чтобы подобная Emotet малварь не могла с легкостью проникнуть в сеть.

Emotet — один из наиболее активных в настоящее время троянов, который распространяется с почтовым спамом, через вредоносные документы Word. Такие письма могут маскироваться под инвойсы, накладные, предупреждения о безопасности аккаунта, приглашения на вечеринку и даже под информацию о распространении коронавируса. Словом, хакеры внимательно следят за мировыми трендами и постоянно совершенствуют свои письма-приманки.

Проникнув в систему жертвы, Emotet использует зараженную машину для дальнейшей рассылки спама, а также устанавливает на устройство дополнительную малварь. Зачастую это банкер Trickbot (который ворует учетные данные, cookie, историю браузера, ключи SSH и так далее), а также шифровальщик Ryuk.

Мария Нефёдова: Блондинка, гик, книжный червь, синефил. Редактор ленты новостей; иногда автор Сцены.

Комментарии (2)

  • Мне казалось, что брутфорс это вчерашний день. Удивительное дело!

Похожие материалы