Nebezpečný trojský kůň Emotet získal nové schopnosti – dokáže se šířit přes Wi-Fi

Emotet je sofistikovaný trojský kůň, který obvykle také funguje jako „zavaděč“ pro další malware. Jednou z jeho klíčových vlastností je podpora modulů, kterými lze rozšiřovat jeho schopnosti. Díky nim dokáže například vykrádat kontakty z aplikace Outlook nebo se šířit po lokální síti.

Emotet s Wi-Fi vylepšením

Útok začíná tím, že si Emotet do složky C:\ProgramData stáhne soubor v podobě samorozbalovacího archivu ve formátu RAR. Tento archiv pak obsahuje dva binární soubory (service.exe a worm.exe) používané pro šíření přes bezdrátové sítě.

Soubor worm.exe se po rozbalení automaticky spustí – jde o hlavní aplikaci používanou pro šíření. Jistým paradoxem je, že tento soubor byl poprvé zachycen online antivirem VirusTotal již v dubnu 2018, přesto až dosud unikal pozornosti.

 
Trojský kůň Emotet se umí šířit přes Wi-Fi

Červ následně začne přes dynamickou knihovnu wlanAPI.dll zjišťovat dostupné Wi-Fi sítě, přičemž se zajímá o jejich jméno (SSID), sílu signálu, zabezpečení a šifrování. Následně podnikne útok typu „brute-force“ (hrubou silou), kterým se pokusí dostat do sítí a do jednotlivých zařízení.

Šíří se jako virus

Když se infikovaný stroj připojí do nové sítě, začne Emotet zkoušet procházet všechny skryté sdílené položky. Následně se k nim pokouší připojit pod nejrůznějšími uživatelskými účty, včetně administrátorského. V případě úspěchu pak provede infiltraci trojského koně do daného zařízení.

Malware se v takovém případě nejprve pokusí získat přístup ke sdílené složce C$, což mu umožní pracovat s diskem daného stroje. Následně uloží soubor service.exe pod názvem my.exe a přidá a spustí novou službu, kterou pojmenuje jako Windows Defender System Service.

Služba pak zajišťuje dva základní úkoly. Tím prvním je komunikace se vzdáleným serverem útočníka na pevně nastavené IP adrese 45.79.223.161:443, který tak může malware ovládat na dálku. Druhým úkolem je stažení a spuštění souboru s trojským koněm Emotet.

Více informací zde: https://www.zive.cz/clanky/nebezpecny-trojsky-kun-emotet-ziskal-nove-schopnosti–dokaze-se-sirit-pres-wi-fi/sc-3-a-202443/default.aspx

Leave a Reply

Your email address will not be published. Required fields are marked *