В частности, по словам его первооткрывателей, это «новый тип загрузчика, который использует интерфейс wlanAPI для перечисления всех сетей Wi-Fi в этой области, а затем пытается распространиться на эти сети, заражая все устройства, к которым он может получить доступ в процесс."
Пол Вагензейль, старший редактор, который занимается безопасностью в Tom's Guide , был одним из нескольких авторов, последовавших за этим «недавно найденным вариантом троянца Emotet, которого боятся».
Почему Вагензейль назвал это опасением? «Emotet - это разновидность вредоносного ПО, который начал свою жизнь в 2014 году как банковский троян, - писал он, - но позже добавил, что он может похищать личную информацию, устанавливать вымогатели, формировать бот-сети и загружать другие вредоносные программы. «.
Охранная фирма Binary Defense определила вариант. По словам Binary Defense, «благодаря этому недавно обнаруженному типу загрузчика, используемому Emotet, в возможности Emotet вводится новый вектор угрозы. Ранее считалось, что он распространяется только по вредоносному спаму и зараженным сетям, Emotet может использовать этот тип загрузчика для распространения через ближайшую беспроводную сеть. сети, если сети используют небезопасные пароли. "
В то время как Вагензейль назвал это опасением, Джеймс Куинн, аналитик по вредоносным программам для Binary Defense, дал еще больше оснований осознавать возможности Emotet:
«Emotet - это очень сложный троян, который обычно также служит загрузчиком для других вредоносных программ. Ключевой функциональностью Emotet является его способность предоставлять пользовательские модули или плагины, которые подходят для конкретных задач, включая кражу контактов Outlook или распространение по локальной сети. "
А Сергей Гатлан в BleepingComputer 7 февраля подумал о еще большем количестве напоминаний. «В конце декабря троян Emotet занял первое место в« 10 самых распространенных угрозах », созданных интерактивной платформой анализа вредоносных программ Any.Run, - добавил он, - с тройным числом загрузок для анализа по сравнению со следующим семейством вредоносных программ в их вершина, агент Тесла Инфо-похититель ".
Гатлан также сообщил, что Агентство кибербезопасности и безопасности инфраструктуры (CISA) выпустило предупреждение «об увеличении активности, связанной с целевыми атаками Emotet ... советуя администраторам и пользователям просматривать предупреждение Emotet Malware для получения рекомендаций».
Бинарная защита обнаружила, что распространение Wi-Fi оставалось незамеченным в течение почти двух лет.
Как это может быть? Энтони Спадафора из TechRadar упомянул две причины из-за (1) того, как редко бинарный файл удалялся. Он пишет: «Согласно данным Binary Defense, 23 января 2020 года компания впервые заметила, что файл был доставлен Emotet, несмотря на то, что он был включен в вредоносное ПО с 2018 года». (2) Его способность продолжать работу без обнаружения могла заключаться в том, что «модуль не отображал поведение распространения на виртуальных машинах и автоматизированных песочницах без карт Wi-Fi, которые исследователи используют для распространения новых видов вредоносных программ».
Руководство Тома предоставило подробную информацию о том, как работает Emotet.
После того, как Emotet установлен на ПК, «worm.exe» проверяет, сколько сетей Wi-Fi имеют радиус действия. Этот шаг не выполняется в Windows XP, но не в более поздних версиях Windows. Попытки Emotet взломать пароли доступа каждого рядом Wi-Fi сети , «потянув их из прекомпилированный списка вероятных кодов связи один за другим , пока один работает.»
Тогда позвольте распространению начаться:
«Получив доступ к сети, Emotet отправляет имя сети и пароль вновь взломанной сети на свой командно-контрольный сервер, очевидно добавляя информацию в основной список взломанных сетей Wi-Fi.
«Затем вредоносная программа отключает существующее соединение Wi-Fi на своем главном ПК и подключает ПК к вновь подключенной сети, после чего Emotet сканирует подключенные машины Windows. Затем он пытается перебором имен пользователей Windows и паролей пользователей на каждой новой зараженной машине. , используя другой предварительно скомпилированный список вероятных текстовых строк. "
Вагенсейл сказал, что помимо слабых паролей Wi-Fi, он также обнаруживается в зараженных вложениях электронной почты.
В заключительных комментариях Куинна к обсуждению Binary Defense содержался совет по использованию надежных паролей для защиты беспроводных сетей, чтобы вредоносные программы, такие как Emotet, не могли получить несанкционированный доступ к сети.
Куинн также подчеркнул стратегии обнаружения этой угрозы, которые будут включать «активный мониторинг конечных точек для устанавливаемых новых служб и расследование подозрительных служб или любых процессов, выполняющихся из временных папок и папок данных приложения профиля пользователя». Он также сказал, что мониторинг сети был эффективным обнаружением, «поскольку обмен данными не зашифрован, и существуют распознаваемые шаблоны, которые идентифицируют содержимое сообщений вредоносного ПО ».
