بدافزار Emotet درحال‌حاضر به شبکه‌های وای‌فای نزدیک نفوذ می‌کند تا قربانیان جدید را آلوده کند

تروجان Emotet که در پشت پرده‌ی برخی از پویش‌های هرزنامه‌ی مبتنی‌بر بات‌نت و حملات باج‌افزاری است، بردار حمله‌ی جدیدی پیدا کرده است که از دستگاه‌های آلوده برای شناسایی قربانیان جدیدی که به شبکه‌های وای‌فای نزدیک متصل هستند، استفاده می‌کند.

به‌گفته‌ی پژوهش‌گران Binary Defense، نمونه‌ی تازه کشف‌شده‌ی Emotet از یک ماژول «Wi-Fi spreader» برای اسکن شبکه‌های وای‌فای استفاده می‌کند و سپس تلاش می‌کند تا دستگاه‌هایی را که به آن‌ها متصل هستند آلوده کند.

این شرکت امنیت سایبری بیان کرد که Wi-Fi spreader یک نشانگر زمانی از ۱۶ آوریل سال ۲۰۱۸ میلادی دارد که نشان می‌دهد رفتار پخش آن نزدیک به دو سال بدون علائم بوده است تا این‌که برای اولین بار در ماه گذشته شناسایی شد.

این پیشرفت و توسعه باعث افزایش قابلیت‌های Emotet می‌شود، زیرا شبکه‌هایی که از نظر فیزیکی به قربانی اصلی نزدیک هستند، درحال‌حاضر مستعد آلودگی هستند.

نسخه‌ی به‌روزرسانی‌شده‌ی این بدافزار با استفاده از یک میزبان آسیب‌دیده تلاش می‌کند تا همه‌ی شبکه‌های وای‌فای نزدیک را فهرست کند. برای انجام این کار، از رابط wlanAPI برای استخراج SSID، طول سیگنال، روش احراز هویت و حالت رمزنگاری استفاده‌شده برای امن کردن گذرواژه‌ها استفاده می‌کند.

این بدافزار با به دست آوردن اطلاعات مربوط به هر شبکه از این طریق، تلاش می‌کند تا با انجام یک حمله‌ی کورکورانه با استفاده از گذرواژه‌های به دست آمده از دو فهرست گذرواژه‌ی داخلی به شبکه‌ها متصل شود. در صورت عدم موفقیت در اتصال، به سراغ گذرواژه‌ی بعدی در فهرست می‌رود. مشخص نیست که چگونه این فهرست از گذرواژه‌ها جمع شده‌اند.

اما در صورت موفقیت‌آمیز بودن عملیات، این بدافزار به سیستم آسیب‌دیده در شبکه‌‌ای که تازه به آن دسترسی یافته متصل می‌شود و شروع به شمارش همه‌ی اشتراک‌گذاری‌های غیرمخفی می‌کند. سپس دور دوم حمله‌ی کورکورانه را برای حدس نام کاربری و گذرواژه‌های همه‌ی کاربران متصل به منابع شبکه انجام می‌دهد.

این بدافزار پس از حمله‌ی کورکورانه‌ی موفقیت‌آمیز به کاربران و گذرواژه‌های آن‌ها، با نصب بار داده‌های مخرب به نام «service.exe» در سیستم‌های راه دور تازه آلوده‌شده وارد مرحله‌ی بعدی می‌شود. این بار داده برای پنهان کردن رفتار خود به‌عنوان یک Windows Defender System Service نصب می‌شود.

علاوه‌بر برقراری ارتباط با یک سرور فرمان و کنترل، این سرویس به‌عنوان یک توزیع‌کننده عمل می‌کند و باینری Emotet را در میزبان آلوده اجرا می‌کند.

حقیقت این است که Emotet‌ می‌تواند از یک شبکه‌ی وای‌فای به شبکه‌ی دیگری که در شرکت‌ها قرار دارد و برای امن کردن آن‌ها از گذرواژه‌های قوی استفاده می‌شود تا از دسترسی غیرمجاز جلوگیری کند، پرش کند. می‌توان با فرآیندهای نظارتی فعالی که از پوشه‌های موقت و پوشه‌های داده‌ی برنامه‌ی کاربر اجرا می‌شوند، این بدافزار را شناسایی کرد.

Emotet که اولین بار در سال ۲۰۱۴ میلادی مشاهده شد، از شکل اصلی خود به‌عنوان یک تروجان بانکی به یک «چاقوی ارتش سوئیس» تغییرشکل داد که بسته به نحوه‌ی پیاده‌سازی آن می‌تواند به‌عنوان یک ابزار بارگیری، سرقت اطلاعات و بات هرزنامه خدمات دهد.

با گذشت سال‌ها، این بدافزار یک سازوکار توزیع مؤثر برای باج‌افزار بوده است. شبکه‌ی فناوری اطلاعات Lake City در ماه ژوئن سال گذشته پس از آن‌که یکی از کارمندان به‌طور سهوی یک ایمیل مشکوک را باز کرد و این ایمیل تروجان Emotet و تروجان TrickBot و باج‌افزار Ryuk را بارگیری کرد، مختل شد.

اگرچه پویش‌های تحت هدایت Emotet به‌طور عمده در طول تابستان سال ۲۰۱۹ میلادی ناپدید شدند، اما در ماه سپتامبر از طریق ایمیل‌هایی با اهداف جغرافیایی و اغلب با موضوع اقتصادی که از پیوست‌های اسناد مخرب یا لینک‌ به اسناد مشابهی که با فعال شدن ماکروها در آن‌ها Emotet را نصب می‌کنند، بازگشتند.

پژوهش‌گران Binary Defense نتیجه‌گیری کردند که با این loader-type تازه کشف‌شده که توسط Emotet استفاده می‌شود، یک بردار تهدید جدید برای قابلیت‌های Emotet معرفی می‌شود. Emotet می‌تواند از این loader-type برای انتشار در شبکه‌های وایرلس نزدیکی که گذرواژه‌های ناامن دارند، استفاده کند.

منبع

پست‌های مشابه

Leave a Comment