تروجان Emotet که در پشت پردهی برخی از پویشهای هرزنامهی مبتنیبر باتنت و حملات باجافزاری است، بردار حملهی جدیدی پیدا کرده است که از دستگاههای آلوده برای شناسایی قربانیان جدیدی که به شبکههای وایفای نزدیک متصل هستند، استفاده میکند.
بهگفتهی پژوهشگران Binary Defense، نمونهی تازه کشفشدهی Emotet از یک ماژول «Wi-Fi spreader» برای اسکن شبکههای وایفای استفاده میکند و سپس تلاش میکند تا دستگاههایی را که به آنها متصل هستند آلوده کند.
این شرکت امنیت سایبری بیان کرد که Wi-Fi spreader یک نشانگر زمانی از ۱۶ آوریل سال ۲۰۱۸ میلادی دارد که نشان میدهد رفتار پخش آن نزدیک به دو سال بدون علائم بوده است تا اینکه برای اولین بار در ماه گذشته شناسایی شد.
این پیشرفت و توسعه باعث افزایش قابلیتهای Emotet میشود، زیرا شبکههایی که از نظر فیزیکی به قربانی اصلی نزدیک هستند، درحالحاضر مستعد آلودگی هستند.
نسخهی بهروزرسانیشدهی این بدافزار با استفاده از یک میزبان آسیبدیده تلاش میکند تا همهی شبکههای وایفای نزدیک را فهرست کند. برای انجام این کار، از رابط wlanAPI برای استخراج SSID، طول سیگنال، روش احراز هویت و حالت رمزنگاری استفادهشده برای امن کردن گذرواژهها استفاده میکند.
این بدافزار با به دست آوردن اطلاعات مربوط به هر شبکه از این طریق، تلاش میکند تا با انجام یک حملهی کورکورانه با استفاده از گذرواژههای به دست آمده از دو فهرست گذرواژهی داخلی به شبکهها متصل شود. در صورت عدم موفقیت در اتصال، به سراغ گذرواژهی بعدی در فهرست میرود. مشخص نیست که چگونه این فهرست از گذرواژهها جمع شدهاند.
اما در صورت موفقیتآمیز بودن عملیات، این بدافزار به سیستم آسیبدیده در شبکهای که تازه به آن دسترسی یافته متصل میشود و شروع به شمارش همهی اشتراکگذاریهای غیرمخفی میکند. سپس دور دوم حملهی کورکورانه را برای حدس نام کاربری و گذرواژههای همهی کاربران متصل به منابع شبکه انجام میدهد.
این بدافزار پس از حملهی کورکورانهی موفقیتآمیز به کاربران و گذرواژههای آنها، با نصب بار دادههای مخرب به نام «service.exe» در سیستمهای راه دور تازه آلودهشده وارد مرحلهی بعدی میشود. این بار داده برای پنهان کردن رفتار خود بهعنوان یک Windows Defender System Service نصب میشود.
علاوهبر برقراری ارتباط با یک سرور فرمان و کنترل، این سرویس بهعنوان یک توزیعکننده عمل میکند و باینری Emotet را در میزبان آلوده اجرا میکند.
حقیقت این است که Emotet میتواند از یک شبکهی وایفای به شبکهی دیگری که در شرکتها قرار دارد و برای امن کردن آنها از گذرواژههای قوی استفاده میشود تا از دسترسی غیرمجاز جلوگیری کند، پرش کند. میتوان با فرآیندهای نظارتی فعالی که از پوشههای موقت و پوشههای دادهی برنامهی کاربر اجرا میشوند، این بدافزار را شناسایی کرد.
Emotet که اولین بار در سال ۲۰۱۴ میلادی مشاهده شد، از شکل اصلی خود بهعنوان یک تروجان بانکی به یک «چاقوی ارتش سوئیس» تغییرشکل داد که بسته به نحوهی پیادهسازی آن میتواند بهعنوان یک ابزار بارگیری، سرقت اطلاعات و بات هرزنامه خدمات دهد.
با گذشت سالها، این بدافزار یک سازوکار توزیع مؤثر برای باجافزار بوده است. شبکهی فناوری اطلاعات Lake City در ماه ژوئن سال گذشته پس از آنکه یکی از کارمندان بهطور سهوی یک ایمیل مشکوک را باز کرد و این ایمیل تروجان Emotet و تروجان TrickBot و باجافزار Ryuk را بارگیری کرد، مختل شد.
اگرچه پویشهای تحت هدایت Emotet بهطور عمده در طول تابستان سال ۲۰۱۹ میلادی ناپدید شدند، اما در ماه سپتامبر از طریق ایمیلهایی با اهداف جغرافیایی و اغلب با موضوع اقتصادی که از پیوستهای اسناد مخرب یا لینک به اسناد مشابهی که با فعال شدن ماکروها در آنها Emotet را نصب میکنند، بازگشتند.
پژوهشگران Binary Defense نتیجهگیری کردند که با این loader-type تازه کشفشده که توسط Emotet استفاده میشود، یک بردار تهدید جدید برای قابلیتهای Emotet معرفی میشود. Emotet میتواند از این loader-type برای انتشار در شبکههای وایرلس نزدیکی که گذرواژههای ناامن دارند، استفاده کند.