Το Emotet είναι τώρα ικανό να στείλει δίκτυα Wi-Fi

Emotet Spreads by Hacking Wi-Fi Networks

Πολλοί άνθρωποι δεν το σκέφτονται πολύ, αλλά η σωστή διαμόρφωση ενός δικτύου Wi-Fi είναι εξαιρετικά σημαντική. Θα μπορούσε να ανοίξει την πύλη σε όλες τις προσωπικές σας συσκευές και η ασφάλειά της πρέπει να αντιμετωπιστεί με απόλυτο σεβασμό για πολλούς διαφορετικούς λόγους. Πρόσφατα, ο James Quinn, ένας αναλυτής κακόβουλου λογισμικού για την Binary Defense, βρήκε ακόμη ένα.

Το ανακάλυψε όταν αναλύει ένα νέο δείγμα του κακόβουλου λογισμικού Emotet, το οποίο έπεσε στα τέλη Ιανουαρίου. Το Emotet είναι αναμφισβήτητα η πιο διαδεδομένη απειλή κακόβουλου λογισμικού τα τελευταία χρόνια. Έχει περάσει από το 2014, και παρόλο που μπορεί να χρησιμοποιηθεί ως αυτόνομο τραπεζικό δούρειο trojan, έχει χρησιμοποιηθεί συχνά ως σταγονόμετρο για άλλα στελέχη κακόβουλου λογισμικού. Μέχρι στιγμής, έχουν διανεμηθεί κυρίως με τη βοήθεια μεγάλων εκστρατειών μάλσπαμ και οι χειριστές τους χρησιμοποίησαν έξυπνες τεχνικές κοινωνικής μηχανικής για να μολύνουν όσο το δυνατόν περισσότερους ανθρώπους. Όταν ο James Quinn έριξε μια πιο προσεκτική ματιά στη νέα έκδοση, ωστόσο, είδε ότι οι συγγραφείς του Emotet είχαν συμπεριλάβει μια προηγουμένως μη αναφερθείσα ενότητα για τη διάδοση σε συσκευές και δίκτυα.

Η Emotet πηδάει δίκτυα Wi-Fi για να μεγιστοποιήσει τον αριθμό των θυμάτων

Η λειτουργία μετά τη μόλυνση της Emotet στην έκδοση Quinn που εξετάστηκε εξαρτάται από ένα ζευγάρι εκτελέσιμα αρχεία τοποθετημένα σε ένα αρχειοθετημένο RAR αρχειοθέτησης. Το πρώτο, service.exe, είναι υπεύθυνο για την εξαγωγή του δυαδικού κώδικα Emotet και την εκτέλεση του. Όπως μπορεί να προτείνει το όνομά του, το δεύτερο, το worm.exe, είναι επιφορτισμένο με την τοποθέτηση του service.exe σε όσο το δυνατόν περισσότερους υπολογιστές.

Όταν επεξεργάστηκε το worm.exe, ο James Quinn είδε ότι το αρχείο επικοινωνούσε βαριά με το wlanAPI.dll - μια βιβλιοθήκη που επιτρέπει στους υπολογιστές Windows να συνδέονται με ασύρματα δίκτυα. Χρησιμοποιώντας κλήσεις API, το στοιχείο διανομής Emotet συλλέγει μια λίστα με όλα τα διαθέσιμα δίκτυα Wi-Fi και κάνει ένα λεπτομερές προφίλ για καθένα από αυτά. Αφού καθορίσει το SSID του δικτύου, τη δύναμη του σήματος και το πρωτόκολλο ασφαλείας, το κακόβουλο λογισμικό προσπαθεί να συνδεθεί με αυτό. Εάν το ασύρματο δίκτυο δεν προστατεύεται από κωδικό πρόσβασης, ο Emotet πηγαίνει κατ 'ευθείαν. Εάν το δίκτυο είναι κλειδωμένο, θα προσπαθήσει να ωθήσει τον δρόμο του χρησιμοποιώντας μια σκληρά κωδικοποιημένη λίστα αδύναμων και εύκολο να μαντέψει κωδικών πρόσβασης.

Όλες οι επιτυχημένες επιθέσεις σε γειτονικά ασύρματα δίκτυα αναφέρονται στον εξυπηρετητή Command and Control (C&C), μετά τον οποίο ο σκουλήκι συνεχίζει με τη ρουτίνα μόλυνσης. Όλες οι μη κρυμμένες μετοχές σε ένα συμβιβασμένο δίκτυο απαριθμούνται και, χρησιμοποιώντας μια δεύτερη σκληρή κωδικοποιημένη λίστα κωδικών πρόσβασης, το worm.exe προσπαθεί να θέσει σε κίνδυνο όλα αυτά. Αν αυτό δεν λειτουργήσει, το κακόβουλο λογισμικό επιχειρεί να εξαναγκάσει τον λογαριασμό διαχειριστή για τον πόρο δικτύου.

Αφού μαντέψει επιτυχώς έναν κωδικό πρόσβασης, ο Emotet μετονομάζει το service.exe στο my.exe και το τοποθετεί στη μονάδα C: \ του συμβιβασμένου υπολογιστή. Μια νεοσυσταθείσα υπηρεσία διασφαλίζει ότι το αρχείο εκτελείται.

Το στοιχείο "νέο" σκουλήκι φέρεται να είναι δύο ετών

Ο James Quinn ήταν λίγο έκπληκτος που είδε ότι σύμφωνα με το timestamp του αρχείου, το στοιχείο worm δημιουργήθηκε τον Απρίλιο του 2018. Μετά από λίγο περισσότερη έρευνα, συνειδητοποίησε ότι ένα αντίγραφο του worm.exe υποβλήθηκε για πρώτη φορά στο VirusTotal τον Μάιο του 2018, δεν είναι πραγματικά νέο.

Προφανώς, ο Emotet είχε τη δυνατότητα να μεταπηδήσει μεταξύ ασύρματων δικτύων για σχεδόν δύο χρόνια, αλλά για κάποιο λόγο οι ειδικοί ασφαλείας μόλις το ανακάλυψαν. Αυτό θα μπορούσε να οφείλεται στο γεγονός ότι οι φορείς εκμετάλλευσης κακόβουλου λογισμικού δεν έχουν χρησιμοποιήσει τη λειτουργικότητα μέχρι στιγμής, αλλά θα μπορούσε επίσης να οφείλεται στο γεγονός ότι οι sandboxes και οι εικονικές μηχανές που χρησιμοποιούν οι ερευνητές για να εξετάσουν κακόβουλο λογισμικό σπάνια έρχονται με ασύρματη συνδεσιμότητα.

Όποια και αν είναι η περίπτωση, δεν υπάρχει καμία αμφιβολία στο μυαλό κανενός ότι το εξάρτημα διασποράς είναι ισχυρό και μπορεί να προκαλέσει πολλές ζημιές. Με αυτό, η αμέλεια του γείτονά σας θα μπορούσε να οδηγήσει στην κλοπή των προσωπικών σας δεδομένων, οπότε βεβαιωθείτε ότι το οικιακό σας δίκτυο προστατεύεται από έναν ισχυρό κωδικό πρόσβασης.

February 11, 2020

Αφήστε μια απάντηση