Новости Троян Emotet пытается распространяться через ближайшие сети Wi-Fi

  • Автор темы GLOV
  • Дата начала

GLOV

Опытный
ПРОВЕРЕННЫЙ ПРОДАВЕЦ ⭐
Private Club
Старожил
Регистрация
20/5/18
Сообщения
1.158
Репутация
536
Реакции
1.634
RUB
2.000
Депозит
56 072 рублей
Сделок через гаранта
30
Арбитражи
1
Аналитики компании Binary Defense заметили, что новая версия трояна Emotet ведет себя как Wi-Fi червь, то есть пытается распространяться и заражать новых жертв через доступные поблизости сети Wi-Fi.

Исследователи рассказывают, что для обнаружения ближайших Wi-Fi сетей малварь задействует wlanAPI.dll на уже зараженной машине. Обнаружив доступную сеть, Emotet пытается брутфорсом подобрать учетные данные, чтобы проникнуть в нее. В случае успеха малварь ищет в новой сети любые Windows-машины, которые так же можно подвергнуть заражению.





Все аккаунты на таких потенциально доступных устройствах подвергаются сканированию, и вредонос пытается брутфорсом проникнуть в учетные записи администратора и других пользователей. Если взлом удался, Emotet доставляет на машину полезную нагрузку в виде файла service.exe и создает службу Windows Defender System Service, чтобы надежно закрепиться в системе.




Для заражения других устройств через Wi-Fi троян, в числе прочего, использует бинарник worm.exe, изученный образец которого был датирован апрелем 2018 года. Он содержал жестко закодированный IP-адрес управляющего сервера, ранее уже замеченного в связи с Emotet. Эксперты пишут, что это позволяет предложить, что распространение через Wi-Fi использовалось малварью и оставалось незамеченным на протяжении почти двух лет.

Исследователи считают, что это отчасти может быть связано с тем, как редко используется этот бинарник. Так, впервые он был обнаружен специалистами 23 января 2020 года, хотя Binary Defense пристально наблюдала за действиями Emotet с августа 2019 года, когда малварь вернулась к активной деятельности после перерыва. Вероятно, компонент червя вообще не применяется, если малварь понимает, что имеет дело с виртуальной машиной или работает в песочнице.

Еще один исполняемый файл, который троян использует для распространения через Wi-Fi, это service.exe. Он тоже имеет любопытную особенность: хотя он использует порт 443 Transport Layer Security (TLS) для связи с управляющим сервером, по сути, подключение идет по незашифрованному HTTP.

Аналитики Binary Defense рекомендуют использовать надежные пароли для защиты беспроводных сетей, чтобы подобная Emotet малварь не могла с легкостью проникнуть в сеть.
 
Сверху Снизу