Emotet распространяется через слабо защищенные сети Wi-Fi
10/02/20
Специалисты из компании Binary Defense обнаружили и проанализировали вредоносную программу, которая способна распространять троянское ПО Emotet через близлежащие беспроводные Wi-Fi сети и компрометировать подключенные компьютеры.
Напомним, в сентябре нынешнего года Emotet вернулся к жизни после 4 месяцев бездействия. Операторы отправляли электронные письма, содержащие вредоносные файлы и ссылки на вредоносные загрузки. Жертвами кампании стали пользователи, говорящие на польском и немецком языках.
По словам исследователей, теперь у Emotet есть еще один более опасный способ распространения, который позволяет ему проникать в другие сети Wi-Fi и компрометировать компьютеры в них.
После заражения компьютера, подключенного к Wi-Fi сети, вредонос использует wlanAPI для обнаружения любых ближайших сетей Wi-Fi.
«Даже если данные сети защищены паролем, необходимым для подключения, вредоносная программа попробует подобрать из списка возможных вариантов правильный, и в случае успеха подключает зараженный компьютер к сети. Затем вредоносное ПО сканирует сеть на предмет компьютеров под управлением Windows с включенным общим доступом к файлам. Вредонос добывает список всех учетных записей пользователей на этих компьютерах и пытается взломать их методом брутфорса. Если пароль подобран правильно, вредоносная программа копирует себя на данный компьютер и запускает процесс установки с помощью удаленной команды на другом компьютере», — пояснили эксперты.
Затем вредонос посылает запрос C&C-серверу для подтверждения установки.
Как отметили эксперты, основной исполняемый файл Worm.exe, который вредоносная программа использует для распространения по беспроводной сети, имеет временную метку, относящуюся к апрелю 2018 года. Файл впервые был загружен на VirusTotal в мае того же года. Он содержал встроенный IP-адрес C&C-сервера, который использовал Emotet. Предположительно, подобное распространение вредоноса через Wi-Fi сеть тайно осуществляется в течение почти двух лет.