Az Emotet most már képes feltörni a Wi-Fi hálózatokat

Sokan nem gondolnak erre, de a Wi-Fi hálózat helyes konfigurálása hihetetlenül fontos. Ez megnyithatja az átjárót minden személyes eszközéhez, és biztonságát számos különféle okból a legnagyobb tiszteletben kell tartani. Nemrégiben James Quinn, a Binary Defense rosszindulatú program elemzője talált egy újat.

Felfedezte, amikor az Emotet rosszindulatú program új mintájának elemzésekor január végén megbotlott. Az Emotet vitathatatlanul az elmúlt néhány év legelterjedtebb rosszindulatú programja. 2014 óta működik, és bár önálló banki trójaiként is használható, gyakran használják más malware-törzsek csepegtetőjeként is. Eddig elsősorban nagyszabású malspam kampányok útján terjesztették, üzemeltetői okos társasági tervezési technikákat alkalmaztak, hogy minél több embert megfertőzzenek. Amikor James Quinn közelebbről megvizsgálta az új verziót, látta, hogy az Emotet szerzői tartalmaztak egy korábban be nem jelentett modult az eszközök és hálózatok közötti terjesztésre.

Az Emotet átugorja a Wi-Fi hálózatokat, hogy maximalizálja az áldozatok számát

Az Emotet fertőzés utáni művelete a vizsgált Quinn verzióban néhány végrehajtható fájltól függ, amelyeket egy önkicsomagoló RAR-archívumba helyeznek. Az első, a service.exe, felelős az Emotet bináris kinyeréséért és végrehajtásáért. Amint a neve is sugallhatja, a második, a worm.exe feladata, hogy a service.exe-et minél több számítógépre helyezze.

James Quinn, amikor hátra tervezte a worm.exe programot, látta, hogy a fájl erősen kommunikál a wlanAPI.dll fájllal - egy olyan könyvtárral, amely lehetővé teszi a Windows számítógépek számára a vezeték nélküli hálózatokhoz történő csatlakozást. API-hívások felhasználásával az Emotet terjesztő összetevője összegyűjti az elérhető Wi-Fi-hálózatok listáját, és részletes leírást készít mindegyikről. Miután létrehozta a hálózat SSID-jét, a jelerősséget és a biztonsági protokollt, a rosszindulatú program megkísérli csatlakozni ehhez. Ha a vezeték nélküli hálózatot nem védi jelszó, akkor az Emotet egyenesen belép. Ha a hálózat zárolva van, megpróbálja brute-force-ot alkalmazni a gyenge és könnyen kitalálható jelszavak egy kódolt listája felhasználásával.

A szomszédos vezeték nélküli hálózatokkal szembeni sikeres támadásokról a Command and Control (C&C) kiszolgálóra számolnak be, majd a féreg folytatja a fertőzés rutinját. A veszélyeztetett hálózat összes nem rejtett megosztása fel van sorolva, és egy második, kódolt jelszólista felhasználásával a worm.exe megpróbálja mindegyiket veszélyeztetni. Ha ez nem működik, a rosszindulatú program megkísérel fékezni a hálózati erőforrás rendszergazdai fiókját.

Miután sikeresen kitalált egy jelszót, az Emotet átnevezi a service.exe fájlt a my.exe fájlba, és elhelyezi a veszélyeztetett számítógép C: \ meghajtójára. Az újonnan létrehozott szolgáltatás biztosítja a fájl végrehajtását.

Az "új" féreg alkotóelem állítólag két éves

James Quinn egy kicsit meglepettnek látta, hogy a fájl időbélyegének megfelelően a féregkomponenst 2018 áprilisában hozták létre. További kutatások után rájött, hogy a worm.exe egy példányát először 2018 májusában nyújtották be a VirusTotal-hoz, amely azt mutatta, hogy ez nem igazán új.

Az Emotetnek nyilvánvalóan már két éve képes volt ugrálni a vezeték nélküli hálózatok között, ám valamilyen okból a biztonsági szakértők csak most fedezték fel. Ennek oka lehet az, hogy a rosszindulatú programok operátorai eddig még nem használták a funkcionalitást, de annak oka lehet az is, hogy a homokozó és a virtuális gépek kutatói által a rosszindulatú programok vizsgálatához ritkán járó vezeték nélküli kapcsolatokkal járnak.

Akárhogy is is van, senkinek nincs tudatában annak kételye, hogy a szóróegység erős és nagy károkat okozhat. Ezzel a szomszéd hanyagsága személyes adatainak ellopásához vezethet, ezért győződjön meg arról, hogy otthoni hálózatát erős jelszó védi.