Dabar „Emotet“ gali nulaužti „Wi-Fi“ tinklus

Daugelis žmonių apie tai daug negalvoja, tačiau teisinga „Wi-Fi“ tinklo konfigūracija yra nepaprastai svarbi. Tai gali atverti vartus į visus jūsų asmeninius įrenginius, o į jo saugą reikia žiūrėti labai gerbiant dėl daugelio skirtingų priežasčių. Neseniai „Binary Defense“ kenkėjiškų programų analitikas Jamesas Quinnas rado dar vieną.

Jis tai atrado analizuodamas naują „Emotet“ kenkėjiškos programos pavyzdį, kurį jis užklupo sausio pabaigoje. Emotetas yra neabejotinai labiausiai paplitusi kenkėjiškų programų grėsmė per pastaruosius kelerius metus. Jis gyvuoja nuo 2014 m. Ir, nors jis gali būti naudojamas kaip atskiras bankų Trojos arklys, jis dažnai buvo naudojamas kaip kitų kenkėjiškų programų padermių lašintuvas. Iki šiol jis buvo platinamas daugiausia pasitelkiant didelio masto „malspam“ kampanijas, o jo operatoriai naudojo protingas socialinės inžinerijos metodikas užkrėsti kuo daugiau žmonių. Tačiau Jamesas Quinnas atidžiau pažvelgė į naująją versiją, tačiau pamatė, kad „Emotet“ autoriai įtraukė anksčiau nedeklaruojamą modulį, skirtą paskirstyti įrenginiuose ir tinkluose.

Emotetas peršoka „Wi-Fi“ tinklus, norėdamas padidinti aukų skaičių

Emotet operacija po užkrėtimo apžiūrimoje Quinn versijoje priklauso nuo kelių vykdomųjų failų, įdėtų į savaiminio išskleidimo RAR archyvą. Pirmasis, tarnyba.exe, yra atsakingas už dvejetainio „Emotet“ išgavimą ir jo vykdymą. Kaip rodo jo pavadinimas, antrajam, worm.exe, pavesta „service.exe“ išdėstyti kuo daugiau kompiuterių.

Kai jis sukūrė atvirkštinį „worm.exe“, Džeimsas Kvinas pamatė, kad failas daug bendrauja su wlanAPI.dll - biblioteka, leidžiančia „Windows“ kompiuteriams prisijungti prie belaidžių tinklų. Naudodamas API skambučius, „Emotet“ paskirstymo komponentas surenka visų galimų „Wi-Fi“ tinklų sąrašą ir sudaro išsamų kiekvieno iš jų profilį. Nustatęs tinklo SSID, signalo stiprumą ir saugos protokolą, kenkėjiška programa bando prie jo prisijungti. Jei belaidis tinklas nėra apsaugotas slaptažodžiu, „Emotet“ eina tiesiai. Jei tinklas užrakinamas, jis bandys sukčiauti, naudodamas užkoduotą silpnų ir lengvai atspėjamų slaptažodžių sąrašą.

Apie visus sėkmingus išpuolius prieš kaimyninius belaidžius tinklus pranešama „Command and Control“ (C&C) serveriui, po kurio kirminas tęsia infekcijos procesą. Surašomos visos paslėpto tinklo paslėptos akcijos ir, naudodamas antrą užkoduotą slaptažodžių sąrašą, worm.exe bando pakenkti visoms joms. Jei tai neveikia, kenkėjiška programa bando sukčiauti tinklo išteklių administratoriaus abonementą.

Sėkmingai atspėjęs slaptažodį, Emotet pervadina service.exe į my.exe ir įdeda jį į pažeisto kompiuterio C: \ diską. Naujai sukurta paslauga užtikrina failo vykdymą.

Tariamai „naujam“ kirminų komponentui yra dveji metai

Jamesas Quinnas buvo šiek tiek nustebęs pamatęs, kad pagal bylos laiko žymę, kirminų komponentas buvo sukurtas 2018 m. Balandžio mėn. Atlikus keletą tyrimų, jis suprato, kad worm.exe kopija pirmą kartą buvo pateikta „VirusTotal“ 2018 m. Gegužę, ir tai parodė, kad tai tikrai nėra nauja.

Matyt, „Emotet“ turėjo galimybę peršokti tarp belaidžių tinklų jau beveik dvejus metus, tačiau dėl tam tikrų priežasčių saugumo ekspertai tai tik atrado. Taip gali būti todėl, kad kenkėjiškų programų operatoriai iki šiol nenaudojo šios funkcijos, bet taip pat gali būti dėl to, kad smėlio dėžės ir virtualių mašinų tyrėjai naudoja kenkėjiškoms programoms tirti retai būna su belaidžiu ryšiu.

Kad ir kaip būtų, niekam nekyla abejonių, kad barstytuvo komponentas yra galingas ir gali padaryti daug žalos. Dėl to kaimyno aplaidumas gali sukelti jūsų asmens duomenų vagystę, todėl įsitikinkite, kad jūsų namų tinklas yra apsaugotas stipriu slaptažodžiu.