Emotet теперь может взламывать сети Wi-Fi

Многие люди не думают об этом, но правильная конфигурация сети Wi-Fi невероятно важна. Это может открыть шлюз для всех ваших личных устройств, и его безопасность должна рассматриваться с большим уважением по многим различным причинам. Недавно Джеймс Куинн, аналитик Binary Defense, обнаружил еще одну.

Он обнаружил это, когда анализировал новый образец вредоносного ПО Emotet, на который он наткнулся в конце января. Emotet является, пожалуй, самой распространенной угрозой вредоносного ПО за последние несколько лет. Он существует с 2014 года, и, хотя он может использоваться в качестве отдельного банковского трояна, он часто использовался как пипетка для других вредоносных программ. До сих пор он распространялся главным образом с помощью крупномасштабных кампаний по рассылке спама, и его операторы использовали умные методы социальной инженерии, чтобы заразить как можно больше людей. Однако, когда Джеймс Куинн более внимательно посмотрел на новую версию, он увидел, что авторы Emotet включили ранее незарегистрированный модуль для распространения по устройствам и сетям.

Emotet перепрыгивает сети Wi-Fi, чтобы максимально увеличить количество жертв

Операция Emotet после заражения в проверенной версии Quinn зависит от пары исполняемых файлов, помещенных в самораспаковывающийся архив RAR. Первый, service.exe, отвечает за извлечение двоичного файла Emotet и его выполнение. Как следует из названия, второй, worm.exe, предназначен для размещения service.exe на как можно большем количестве компьютеров.

Когда он перепроектировал worm.exe, Джеймс Куинн увидел, что файл интенсивно связывается с wlanAPI.dll - библиотекой, которая позволяет компьютерам Windows подключаться к беспроводным сетям. Используя вызовы API, компонент Emotet собирает список всех доступных сетей Wi-Fi и создает подробный профиль каждой из них. После того, как он устанавливает SSID сети, уровень сигнала и протокол безопасности, вредоносная программа пытается подключиться к нему. Если беспроводная сеть не защищена паролем, Emotet сразу же подключается. Если сеть заблокирована, она попытается перебором, используя жестко запрограммированный список слабых и легко угадываемых паролей.

О всех успешных атаках на соседние беспроводные сети сообщается на сервер командования и управления (C&C), после чего червь продолжает процедуру заражения. Перечисляются все не скрытые общие ресурсы в скомпрометированной сети, и, используя второй жестко запрограммированный список паролей, worm.exe пытается скомпрометировать их все. Если это не работает, вредоносная программа пытается переборить учетную запись администратора для сетевого ресурса.

После успешного угадывания пароля Emotet переименовывает service.exe в my.exe и помещает его на диск C: \ скомпрометированного компьютера. Недавно созданный сервис гарантирует, что файл выполняется.

«Новому» компоненту червя предположительно два года

Джеймс Куинн был немного удивлен, увидев, что согласно метке времени файла, компонент-червь был создан в апреле 2018 года. После дополнительных исследований он понял, что копия файла worm.exe впервые была представлена VirusTotal в мае 2018 года, что показало, что это не совсем новое.

По всей видимости, Emotet уже почти два года может переключаться между беспроводными сетями, но по какой-то причине эксперты по безопасности только что обнаружили это. Это может быть связано с тем, что операторы вредоносных программ до сих пор не использовали эту функциональность, но это также может быть связано с тем фактом, что исследователи используют «песочницы» и виртуальные машины для проверки вредоносных программ, которые редко имеют беспроводную связь.

Как бы то ни было, никто не сомневается в том, что компонент разбрасывателя является мощным и может нанести большой ущерб. С его помощью халатность вашего соседа может привести к краже ваших личных данных, поэтому убедитесь, что ваша домашняя сеть защищена надежным паролем.