1. Новости
Заметки пользователей
13.02.2020 08:50
PDF
1463
0

Троян Emotet научился путешествовать по Wi-Fi сетям

Троян Emotet старается захватывать новые устройства по Wi-Fi, рассчитывая на слабые пароли. Такая "опция" была встроена в одну из версий вируса уже около полутора лет, но обнаружили ее совсем недавно. 

Emotet изначально разработан, как "банковский" троян. Он распространяется по фишинговой схеме через электронную почту. Нажав на ссылку или открыв вложенный документ Microsoft Word или PDF, пользователь обзаводится "домашним животным", которое загружает вредоносное ПО для кражи данных или других целей. Схема хорошо работает на компаниях, сотрудники которых по неосторожности открывают зараженные файлы. Далее троян распространяется внутри сети, что можно предотвратить путем ее сегментации. 

Emotet впервые появился в 2014 году и с тех пор стал любимым инструментом хакеров, которые модифицируют его для более эффективного заражения целевых компьютеров. Один из таких вариантов вируса обнаружила команда исследователей из Binary Defense. Оказалось, что Emotet умеет распространяться через Wi-Fi. Попадая на компьютер с ОС Windows, троян загружает модуль WiFi Spreader, через wlanAPI.dll ищет окружающие сети и пытается подключиться к ним, рассчитывая на слабый пароль или его отсутствие. Подобрав пароль, вирус связывается со своим сервером и пытается взломать другие Windows-устройства в этой сети, получив доступ к учетным записям администратора и пользователей. Если вторая атака методом "грубой силы" окажется успешной, Emotet закрепится во второй сети, и цикл заражения начинается с нуля.

Троян Emotet научился путешествовать по Wi-Fi сетям
Схема распространения трояна

После взлома следующего компьютера Emotet загружает файл service.exe и устанавливает Windows Defender System Service. В некоторых случаях в схеме заражения участвует файл worm.exe, который датируется апрелем 2018 года. В Binary Defense утверждают, что схема работает на компьютерах со слабыми паролями (проблема не затрагивает устройства на Windows XP SP2 или SP3). Это означает, что компьютеры, зараженные Emotet, представляют опасность не только для собственной внутренней сети компании, но и для сетей любых соседних организаций, которые находятся в физической близости от первоначальной жертвы.

0 комментариев
Оставлять комментарии могут только авторизованные пользователи