Emotet, заплаха, регистрирана за пръв път преди повече от пет години, търпи постоянна еволюция и заразява все повече системи по целия свят. Зловредната програма беше една от най-големите заплахи за интернет потребителите по света през миналата година, и по всичко изглежда, че ще е такава и през настоящата.

Появил се в началото като обикновен банков троянец, програмата бива развита в нещо много повече от това. Днес тя често бива използвана за доставяне на допълнителни порции зловреден код, организира заразените системи в огромни ботнет мрежи, а авторите ѝ често предоставят „под наем“ на други престъпни групи вече компрометирани от Emotet мрежи за допълнителни поражения. След като си бяха взели кратка почивка по празниците, престъпниците, разпространяващи Emotet показаха сериозно раздвижване в началото на тази година. Едни от атаките, с които се свързваше заплахата бяха насочени срещу политически лица от световна организация, възползваха се и от страховете, породени от набиращия сила коронавирус, тръгнал от Китай. В края на миналия месец беше издаден и специален бюлетин от българския CERT екип, алармиращ за активизирането на заплахата. А сега нейните автори са решили да направят нова крачка в развитието ѝ с нов вектор за инфектиране на устройствата по света.

Emotet представлява заплаха, която се разпространява основно чрез спам кампании – масови и ограничени, но наскоро открита активност на заплахата представя плашещи сценарии. Emotet се е „научил“ да се прехвърля от вече компрометирани устройства към слабо защитени Wi-Fi мрежи и по този начин да се разпространява към все още незасегнати устройства. За това научаваме от специален доклад на Binary Defence.

„С този новооткрит метод, използван от Emotet, един изцяло нов вектор бива представен към способностите на Emotet“, споделя Джеймс Куин, изследовател и анализатор на зловреден код към Binary Defence. „Преди известен с това, че се разпространява единствено чрез спам и заразени мрежи, Emotet може да използва тази нова тактика, за да се разпространява в близко стоящите мрежи, ако те използват слаби пароли“.

Макар и въпросната атака да е регистрирана в края на януари тази година, от Binary Defence съобщават, че изпълнителният файл, използван в нея носи като дата на създаване 16.04,2018, което служи да покаже, че вероятно този род атаки се провеждат без да бъдат засечени вече две години. Според тях, обяснението за това този вариант да мине под радарите на компаниите за сигурност е, че изпълнимият файл не е често използван в кампании.

В самото начало на атаката, Emotet идва като саморазархивиращ се RAR архив, който съдържа два изпълними файла (worm.exe и service.exe), които биват използвани за разпространение в безжичната мрежа. Първият файл, който се изпълнява тук е worm.exe. Той започва да профилира мрежите с цел да се опита да се разпространи в тях, като за целта се възползва от възможностите на интерфейса на wlanAPI – библиотека, използвана от вградените Wi-Fi апликационно-програмен интерфейс за управление на профилите на безжичните мрежи и връзки.

След получаване на имената на безжичната мрежа, програмата отправя заявка към функция (WlanEnumInterfaces) извеждаща всички достъпни мрежи от системата. Функцията на свой ред връща цялата налична информация за тези мрежи, като SSID, сигнала, метода на криптиране и автентикация. Използвайки списък с вътрешни пароли, до който авторите на доклада не са сигурни как бива получен, програмата започва да налучква пароли от списъка. Пр осъществен успех, тя комуникира с команден сървър, след което започва атаката към паролите на устройството за всички потребители (в това число и на администраторския акаунт). Ако тя има успех се инсталира и втория изпълним файл (service.exe), който се установява, като услуга с името Windows Defender System Service” (WinDefService). с което си осигурява трайно присъствие на инфектираното устройство. Едва тогава бива изпратен и Emotet, а процедурите се повтарят.

Това, което препоръчват експертите и така или иначе би трябвало да сте го направите е да защитавате безжичната си мрежа със силна и уникална парола, която не може да се отгатне и не използвате другаде.

0 0 глас
Оценете статията
Абонирай се
Извести ме за
guest
0 Коментара
Отзиви
Всички коментари