Các nhà nghiên cứu bảo mật Binary Defense gần đây đã phát hiện ra một Trojan Emotet mẫu có mô-đun sâu Wi-Fi cho phép phần mềm độc hại phát tán trên các mạng không dây không an toàn cho các nạn nhân mới.
Loại mới này sử dụng lệnh gọi wlanAPI.dll để tìm các mạng không dây xung quanh các máy tính đã bị nhiễm Emotets. Bằng cách sử dụng kết nối Wi-Fi của một máy bị xâm nhập, phần mềm độc hại sẽ cố gắng truy cập vào một mạng được bảo vệ bằng mật khẩu khác gần đó.
Sau khi thiết bị bị xâm nhập đã kết nối thành công với một mạng không dây khác, Trojan Emotet bắt đầu tìm kiếm một mạng khác Windows thiết bị với một phần không bị ẩn. Sau đó, phần mềm độc hại quét tất cả các tài khoản trên thiết bị này và một lần nữa ép buộc mật khẩu của tài khoản quản trị viên và tất cả người dùng khác của sistema.
Cuối cùng, con sâu đạt được sự bền bỉ trong sistema Phát hành tải nguy hiểm dưới dạng nhị phân service.exe cài đặt dịch vụ mới gọi là "Windows Dịch vụ của sistema phòng thủ. "
Một thiết bị phát wifi chưa được phát hiện
Trong một bài đăng trên blog chi tiết về những phát hiện của họ, các nhà nghiên cứu của Binary Defense đã giải thích rằng khả năng phát tán của Emotet qua Wi-Fi đã không được phát hiện trong gần hai năm, cho biết:
"Worm.exe là tệp thực thi chính được sử dụng để phát tán. Việc thực thi này có dấu thời gian là ngày 16 tháng 4 năm 2018 và lần đầu tiên được gửi tới VirusTotal vào ngày 04/05/2018. Việc thực thi với dấu thời gian này chứa địa chỉ IP từ máy chủ Command and Control (C2) cứng nhắc được sử dụng bởi Emotet. Điều này ngụ ý rằng hành vi lan truyền của Wi-Fi đã không được chú ý trong gần hai năm. "
Lý do hành vi triển khai Wi-Fi không được thực hiện quá lâu là vì nhị phân hiếm khi bị loại bỏ. Theo Binary Defense, ngày 23 tháng 1 năm 2020 đánh dấu lần đầu tiên công ty nhìn thấy một tệp được gửi bởi Emotet mặc dù thực tế là nó đã được đưa vào phần mềm độc hại kể từ năm 2018.
Một lý do khác không thể tìm thấy là mô-đun không hiển thị hành vi lan truyền trong các máy ảo và hộp cát tự động mà không có thẻ Wi-Fi mà các nhà nghiên cứu sử dụng để phân tích các loại phần mềm độc hại mới.
Emotets đã đặt ra những rủi ro nghiêm trọng trước đây, nhưng bây giờ phần mềm độc hại có thể phát tán trên các mạng Wi-Fi bằng mật khẩu đơn giản, chờ tổ chức thực hiện các biện pháp phòng ngừa bổ sung để tránh nạn nhân.
Qua BleepingComputer
