Emotet распространяется через слабо защищенные сети Wi-Fi

Emotet распространяется через слабо защищенные сети Wi-Fi

Предположительно, распространение вредоноса через Wi-Fi-сеть тайно осуществляется в течение почти двух лет.

image

Специалисты из компании Binary Defense обнаружили и проанализировали вредоносную программу, которая способна распространять троянское ПО Emotet через близлежащие беспроводные Wi-Fi сети и компрометировать подключенные компьютеры.

Напомним, в сентябре нынешнего года Emotet вернулся к жизни после 4 месяцев бездействия. Операторы отправляли электронные письма, содержащие вредоносные файлы и ссылки на вредоносные загрузки. Жертвами кампании стали пользователи, говорящие на польском и немецком языках.

По словам исследователей, теперь у Emotet есть еще один более опасный способ распространения, который позволяет ему проникать в другие сети Wi-Fi и компрометировать компьютеры в них.

После заражения компьютера, подключенного к Wi-Fi сети, вредонос использует wlanAPI для обнаружения любых ближайших сетей Wi-Fi.

«Даже если данные сети защищены паролем, необходимым для подключения, вредоносная программа попробует подобрать из списка возможных вариантов правильный, и в случае успеха подключает зараженный компьютер к сети. Затем вредоносное ПО сканирует сеть на предмет компьютеров под управлением Windows с включенным общим доступом к файлам. Вредонос добывает список всех учетных записей пользователей на этих компьютерах и пытается взломать их методом брутфорса. Если пароль подобран правильно, вредоносная программа копирует себя на данный компьютер и запускает процесс установки с помощью удаленной команды на другом компьютере», — пояснили эксперты.

Затем вредонос посылает запрос C&C-серверу для подтверждения установки.

Как отметили эксперты, основной исполняемый файл Worm.exe, который вредоносная программа использует для распространения по беспроводной сети, имеет временную метку, относящуюся к апрелю 2018 года. Файл впервые был загружен на VirusTotal в мае того же года. Он содержал встроенный IP-адрес C&C-сервера, который использовал Emotet. Предположительно, подобное распространение вредоноса через Wi-Fi сеть тайно осуществляется в течение почти двух лет.

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и Яндекс.ДзенЯндекс.Дзен, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

Комментарии для сайта Cackle