Mã độc Emotet hack mạng Wi-Fi xung quanh để lây nhiễm cho nhiều nạn nhân mới

www.tuoitre.vn -   12/02/2020 10:00:00 9922

Emotet là một loại mã độc trojan khét tiếng đằng sau các chiến dịch spam và mã độc tống tiền ransomware do botnet điều khiển, đã tìm ra một vector tấn công mới: sử dụng các thiết bị đã bị nhiễm mã độc đã xác định các nạn nhân mới thông qua kết nối Wi-Fi xung quanh.

Mã độc Emotet hack mạng Wi-Fi xung quanh để lây nhiễm cho nhiều nạn nhân mới

Theo các chuyên gia bảo mật của Binary Defense, mã độc Emotet biến thể mới có chứa một “Wi-Fi spreader” có thể quét các mạng Wi-Fi gần đó, và sau đó cố gắng lây nhiễm cho các thiết bị đang kết nối với mạng Wi-Fi này.

Công ty bảo mật cho biết Wi-Fi Spreader có tem thời gian là 16/4/2018, cho thấy hành vi lây lan này đã hoạt động ngầm trong gần 2 năm nay cho đến khi bị phát hiện lần đầu tiên và tháng trước.

Sự phát triển đánh dấu sự leo thang các khả năng của Emotet, vì các mạng gần gũi với nạn nhân ban đầu hiện dễ bị nhiễm mã độc.

Cơ chế hoạt động của Wi-Fi Spreader trên Emotet

Phiên bản biến thể mới cập nhật của mã độc hoạt động trên khả năng lên danh sách tất cả các mạng Wi-Fi gần đó. Để có thể làm được việc này, nó sử dụng wlanAPI để chiết xuất SSID, độ mạnh của tín hiệu, các phương pháp mã hóa bảo mật (WPA, WPA2 hoặc WEP) cũng như các chế độ mã hóa được sử dụng để bảo mật bằng mật khẩu.

Mã độc Emotet hack mạng Wi-Fi xung quanh để lây nhiễm cho nhiều nạn nhân mới

Sau khi thu thập toàn bộ dữ liệu của từng mạng, mã độc cố gắng kết nối với mạng Wi-FI bằng cách thự thi các đợt tấn công sử dụng mật khẩu lấy từ một trong hai danh sách mật khẩu nội bộ. Khi kết nối không thành công, nó sẽ chuyển sang các mật khẩu trong danh sách. Hiện vẫn chưa rõ làm cách nào mà những mật khẩu này được liệt kê ra.

Nhưng nếu thao tác kết nối thành công, mã độc sẽ kết nối xâm nhập hệ thống mạng và bắt đầu liệt kê các phần chia sẻ mạng. Sau đó, nó thực hiện một tấn công thứ hai để đoán tên người dùng và mật khẩu của tất cả người dùng được kết nối với mạng Wi-Fi này.

Sau khi có được tên người dùng và mật khẩu, mã độc sẽ chuyển sang giai đoạn tiếp theo là cài đặt các trình độc hại được gọi là service.exe trên các hệ thống mới lây nhiễm từ xa mới. Để che giấu hành vi của mình, các trình độc hại này mạo danh là một dịch vụ Windows Defender System Service (WinDefService)

Ngoài việc liên lạc với máy chủ chỉ huy và kiểm soát (C2), dịch vụ này hoạt động như một trình nhỏ giọt và thực thi nhị phân Emotet trên máy chủ bị nhiễm.

Việc Emotet có thể nhảy từ mạng Wi-Fi này sang mạng khác đặt các công ty lên mạng để bảo mật mạng của họ bằng mật khẩu mạnh để ngăn chặn truy cập trái phép. Phần mềm độc hại cũng có thể được phát hiện bằng cách chủ động theo dõi các quá trình đang chạy từ các thư mục tạm thời và các thư mục dữ liệu ứng dụng hồ sơ người dùng.

Minh Hương

TIN CÙNG CHUYÊN MỤC

Kaspersky hướng dẫn cách hạn chế rủi ro ...

05/07/2024 02:00:00 444
Với nhu cầu kết nối mạng mọi lúc mọi nơi, người dùng công nghệ có thói quen sử dụng Wi-Fi công cộng ...

Kaspersky nhận định tình trạng lây nhiễm...

01/07/2024 02:00:00 925
Báo cáo mới nhất của Kaspersky tiết lộ số vụ lây nhiễm trong các doanh nghiệp vừa và nhỏ (SMBs) đã t...

TeamViewer phát hiện vi phạm bảo mật tro...

28/06/2024 08:00:00 858
TeamViewer hôm thứ Năm tiết lộ rằng họ đã phát hiện ra "sự bất thường" trong môi trường CNTT nội bộ ...

Lỗi thanh taskbar phát sinh từ các bản c...

28/06/2024 12:00:00 71
Theo xác nhận từ Microsoft và tài liệu chính thức, khách hàng bị ảnh hưởng không thể tương tác với t...

Apple vá lỗ hổng Bluetooth của AirPods c...

27/06/2024 08:00:00 723
Apple đã phát hành bản cập nhật chương trình cơ sở cho AirPods có thể cho phép kẻ xấu truy cập vào t...

Copilot sẽ thành công nếu Microsoft thuy...

27/06/2024 12:00:00 74
Microsoft muốn biến Copilot trở thành Generative AI tiêu chuẩn để hỗ trợ khách hàng nhưng người dùng...
Xem thêm

TAGS

LIÊN HỆ

Thông tin liên hệ