Ransomware | Viry | Botnet

Nebezpečný trojský kůň Emotet získal nové schopnosti – dokáže se šířit přes Wi-Fi

Emotet je sofistikovaný trojský kůň, který obvykle také funguje jako „zavaděč“ pro další malware. Jednou z jeho klíčových vlastností je podpora modulů, kterými lze rozšiřovat jeho schopnosti. Díky nim dokáže například vykrádat kontakty z aplikace Outlook nebo se šířit po lokální síti.

Odborníci z bezpečnostní firmy Binary Defense identifikovali nový modul Emotetu, který využívá rozhraní wlanAPI ke zjištění všech Wi-Fi sítí v dané lokalitě. Poté se pokusí rozšířit do těchto sítí a infikovat veškerá zařízení, ke kterým získá přístup.

Emotet s Wi-Fi vylepšením

Útok začíná tím, že si Emotet do složky C:\ProgramData stáhne soubor v podobě samorozbalovacího archivu ve formátu RAR. Tento archiv pak obsahuje dva binární soubory (service.exe a worm.exe) používané pro šíření přes bezdrátové sítě.

Soubor worm.exe se po rozbalení automaticky spustí – jde o hlavní aplikaci používanou pro šíření. Jistým paradoxem je, že tento soubor byl poprvé zachycen online antivirem VirusTotal již v dubnu 2018, přesto až dosud unikal pozornosti.

Trojský kůň Emotet se umí šířit přes Wi-Fi.png 
Trojský kůň Emotet se umí šířit přes Wi-Fi

Červ následně začne přes dynamickou knihovnu wlanAPI.dll zjišťovat dostupné Wi-Fi sítě, přičemž se zajímá o jejich jméno (SSID), sílu signálu, zabezpečení a šifrování. Následně podnikne útok typu „brute-force“ (hrubou silou), kterým se pokusí dostat do sítí a do jednotlivých zařízení.

Šíří se jako virus

Když se infikovaný stroj připojí do nové sítě, začne Emotet zkoušet procházet všechny skryté sdílené položky. Následně se k nim pokouší připojit pod nejrůznějšími uživatelskými účty, včetně administrátorského. V případě úspěchu pak provede infiltraci trojského koně do daného zařízení.

Malware se v takovém případě nejprve pokusí získat přístup ke sdílené složce C$, což mu umožní pracovat s diskem daného stroje. Následně uloží soubor service.exe pod názvem my.exe a přidá a spustí novou službu, kterou pojmenuje jako Windows Defender System Service.

Služba pak zajišťuje dva základní úkoly. Tím prvním je komunikace se vzdáleným serverem útočníka na pevně nastavené IP adrese 45.79.223.161:443, který tak může malware ovládat na dálku. Druhým úkolem je stažení a spuštění souboru s trojským koněm Emotet.

Odborníci z Binary Defense konstatují, že nově objevená schopnost distribuce přes bezdrátové sítě značně vylepšuje schopnosti trojana, jež se dle dosavadních poznatků šířil jen přes elektronickou poštu a LAN. Doporučují proto k zabezpečení bezdrátových sítí používat silná hesla, aby malware jako Emotet nemohl získat neoprávněný přístup.

Diskuze (7) Další článek: To se povedlo: Vysoké učení technické v Brně láká studenty vtipným videem

Témata článku: , , , , , , , , , , , , , , ,