Emotet może teraz hakować sieci Wi-Fi

Wiele osób nie myśli o tym zbyt wiele, ale prawidłowa konfiguracja sieci Wi-Fi jest niezwykle ważna. Może otworzyć bramę do wszystkich twoich urządzeń osobistych, a jej bezpieczeństwo musi być traktowane z najwyższym szacunkiem z wielu różnych powodów. Ostatnio James Quinn, analityk szkodliwego oprogramowania dla Binary Defense, znalazł jeszcze jeden.

Odkrył to, analizując nową próbkę złośliwego oprogramowania Emotet, na które natknął się pod koniec stycznia. Emotet jest prawdopodobnie najbardziej rozpowszechnionym zagrożeniem złośliwym oprogramowaniem w ciągu ostatnich kilku lat. Istnieje już od 2014 roku i chociaż może być używany jako samodzielny trojan bankowy, często jest wykorzystywany jako dropper dla innych odmian złośliwego oprogramowania. Do tej pory był dystrybuowany głównie za pomocą kampanii na dużą skalę spamujących, a jego operatorzy używali sprytnych technik inżynierii społecznej, aby zainfekować jak najwięcej ludzi. Kiedy James Quinn przyjrzał się bliżej nowej wersji, zobaczył jednak, że autorzy Emotet zawarli wcześniej niezgłoszony moduł do rozprzestrzeniania się między urządzeniami i sieciami.

Emotet przeskakuje sieci Wi-Fi, aby zmaksymalizować liczbę ofiar

Operacja Emoteta po infekcji w wersji zbadanej przez Quinna zależy od kilku plików wykonywalnych umieszczonych w samorozpakowującym się archiwum RAR. Pierwszy, service.exe, jest odpowiedzialny za wyodrębnienie pliku binarnego Emotet i jego wykonanie. Jak sama nazwa wskazuje, drugi worm.exe ma za zadanie umieszczenie service.exe na jak największej liczbie komputerów.

Kiedy przerobił inżynierię Worm.exe, James Quinn zauważył, że plik silnie komunikuje się z wlanAPI.dll - biblioteką, która pozwala komputerom z systemem Windows łączyć się z sieciami bezprzewodowymi. Korzystając z wywołań API, komponent rozprzestrzeniający Emotet zbiera listę wszystkich dostępnych sieci Wi-Fi i tworzy szczegółowy profil każdej z nich. Po ustanowieniu SSID sieci, siły sygnału i protokołu bezpieczeństwa szkodliwe oprogramowanie próbuje się z nim połączyć. Jeśli sieć bezprzewodowa nie jest chroniona hasłem, Emotet wchodzi bezpośrednio. Jeśli sieć jest zablokowana, spróbuje użyć siły, używając zakodowanej listy słabych i łatwych do odgadnięcia haseł.

Wszystkie udane ataki na sąsiednie sieci bezprzewodowe są zgłaszane do serwera Command and Control (C&C), po czym robak kontynuuje procedurę infekcji. Wszystkie nie ukryte udziały w zagrożonej sieci są wyliczone i przy użyciu drugiej zakodowanej listy haseł program worm.exe próbuje złamać je wszystkie. Jeśli to nie zadziała, złośliwe oprogramowanie próbuje brutalnie wymusić konto administratora dla zasobu sieciowego.

Po pomyślnym odgadnięciu hasła Emotet zmienia nazwę usługi.exe na my.exe i umieszcza ją na dysku C: \ zainfekowanego komputera. Nowo utworzona usługa zapewnia wykonanie pliku.

„Nowy” komponent robaka ma rzekomo dwa lata

James Quinn był nieco zaskoczony, widząc, że zgodnie ze znacznikiem czasu pliku składnik robaka został utworzony w kwietniu 2018 r. Po kilku dalszych badaniach zdał sobie sprawę, że kopia worm.exe została po raz pierwszy przesłana do VirusTotal w maju 2018 r., Co pokazało, że to nie jest tak naprawdę nowe.

Najwyraźniej Emotet ma możliwość przeskakiwania między sieciami bezprzewodowymi od prawie dwóch lat, ale z jakiegoś powodu eksperci ds. Bezpieczeństwa dopiero go odkryli. Może to być spowodowane tym, że operatorzy złośliwego oprogramowania nie korzystali dotychczas z tej funkcji, ale może to również wynikać z faktu, że badacze piaskownicy i maszyn wirtualnych używają do badania złośliwego oprogramowania rzadko z łącznością bezprzewodową.

W każdym razie nie ma wątpliwości, że element rozrzutnika jest potężny i może powodować duże szkody. Dzięki temu zaniedbanie sąsiada może prowadzić do kradzieży danych osobowych, dlatego upewnij się, że sieć domowa jest chroniona silnym hasłem.