Была обнаружена новая версия очень сложного троянца, который может распространяться через сети Wifi. Троян Emotet, который также выполняет функции загрузчика других вредоносных программ, теперь использует интерфейс wlanAPI для распространения на все ПК в сети через Wi-Fi. Ранее было известно, что трояны распространяются только через спам и зараженные сети.
Способность этого трояна принудительно входить в сеть через Wi-Fi с зараженного ПК не должна обнаруживаться как минимум два года. Когда вредоносное программное обеспечение входит в систему, оно начинает регистрироваться и создавать профиль беспроводной сети с помощью вызова wlanAPI.dll, чтобы оно могло распространиться на любую доступную сеть. Это связано с тем, что Native Wi-Fi использует вызов wlanAPI.dll для управления профилями беспроводной сети и подключениями к беспроводной сети.
После этого вредоносная программа гарантирует метод аутентификации и шифрования и использует грубую силу для установления соединения. После успешного подключения он отправляет зашифрованный HTTP-запрос POST на сервер управления и контроля (C2). Если вредоносная программа не угадывает пароль, она пытается принудительно форсировать учетную запись администратора. В случае успеха вредоносная программа может получить доступ к диску C с ПК, где она устанавливает вредоносную программу и другие программы-вымогатели или поглощает личные данные и другую информацию.
Самый известный способ предотвратить проникновение этого троянца через сети Wi-Fi – использовать надежный пароль. Вредоносное ПО распространяется по сети, заставляя его использовать незащищенные пароли, поскольку оно хранит репозитории ранее взломанных сетей. Сложный и трудно взломанный пароль Wi-Fi предотвратит дальнейшее распространение Emotet в сети. Другими шагами для ИТ-персонала являются активный мониторинг каждой службы новостей, которая установлена во временной папке и в папке данных приложения, поскольку известно, что файл setup.exe находится в папке TEMP.
Источник: Двоичная защита через WindowsCentral
Add comment