Mã độc Emotet hack mạng Wi-Fi xung quanh để lây nhiễm cho nhiều nạn nhân mới

www.tuoitre.vn -   12/02/2020 10:00:00 9983

Emotet là một loại mã độc trojan khét tiếng đằng sau các chiến dịch spam và mã độc tống tiền ransomware do botnet điều khiển, đã tìm ra một vector tấn công mới: sử dụng các thiết bị đã bị nhiễm mã độc đã xác định các nạn nhân mới thông qua kết nối Wi-Fi xung quanh.

Mã độc Emotet hack mạng Wi-Fi xung quanh để lây nhiễm cho nhiều nạn nhân mới

Theo các chuyên gia bảo mật của Binary Defense, mã độc Emotet biến thể mới có chứa một “Wi-Fi spreader” có thể quét các mạng Wi-Fi gần đó, và sau đó cố gắng lây nhiễm cho các thiết bị đang kết nối với mạng Wi-Fi này.

Công ty bảo mật cho biết Wi-Fi Spreader có tem thời gian là 16/4/2018, cho thấy hành vi lây lan này đã hoạt động ngầm trong gần 2 năm nay cho đến khi bị phát hiện lần đầu tiên và tháng trước.

Sự phát triển đánh dấu sự leo thang các khả năng của Emotet, vì các mạng gần gũi với nạn nhân ban đầu hiện dễ bị nhiễm mã độc.

Cơ chế hoạt động của Wi-Fi Spreader trên Emotet

Phiên bản biến thể mới cập nhật của mã độc hoạt động trên khả năng lên danh sách tất cả các mạng Wi-Fi gần đó. Để có thể làm được việc này, nó sử dụng wlanAPI để chiết xuất SSID, độ mạnh của tín hiệu, các phương pháp mã hóa bảo mật (WPA, WPA2 hoặc WEP) cũng như các chế độ mã hóa được sử dụng để bảo mật bằng mật khẩu.

Mã độc Emotet hack mạng Wi-Fi xung quanh để lây nhiễm cho nhiều nạn nhân mới

Sau khi thu thập toàn bộ dữ liệu của từng mạng, mã độc cố gắng kết nối với mạng Wi-FI bằng cách thự thi các đợt tấn công sử dụng mật khẩu lấy từ một trong hai danh sách mật khẩu nội bộ. Khi kết nối không thành công, nó sẽ chuyển sang các mật khẩu trong danh sách. Hiện vẫn chưa rõ làm cách nào mà những mật khẩu này được liệt kê ra.

Nhưng nếu thao tác kết nối thành công, mã độc sẽ kết nối xâm nhập hệ thống mạng và bắt đầu liệt kê các phần chia sẻ mạng. Sau đó, nó thực hiện một tấn công thứ hai để đoán tên người dùng và mật khẩu của tất cả người dùng được kết nối với mạng Wi-Fi này.

Sau khi có được tên người dùng và mật khẩu, mã độc sẽ chuyển sang giai đoạn tiếp theo là cài đặt các trình độc hại được gọi là service.exe trên các hệ thống mới lây nhiễm từ xa mới. Để che giấu hành vi của mình, các trình độc hại này mạo danh là một dịch vụ Windows Defender System Service (WinDefService)

Ngoài việc liên lạc với máy chủ chỉ huy và kiểm soát (C2), dịch vụ này hoạt động như một trình nhỏ giọt và thực thi nhị phân Emotet trên máy chủ bị nhiễm.

Việc Emotet có thể nhảy từ mạng Wi-Fi này sang mạng khác đặt các công ty lên mạng để bảo mật mạng của họ bằng mật khẩu mạnh để ngăn chặn truy cập trái phép. Phần mềm độc hại cũng có thể được phát hiện bằng cách chủ động theo dõi các quá trình đang chạy từ các thư mục tạm thời và các thư mục dữ liệu ứng dụng hồ sơ người dùng.

Minh Hương

TIN CÙNG CHUYÊN MỤC

Liệu công cụ kiểm tra nội dung AI có đán...

03/10/2024 12:00:00 7
Trên thực tế, công cụ kiểm tra nội dung AI không phải lúc nào cũng đáng tin cậy và các ví dụ sau đây...

Công cụ AI tạo sinh được bổ sung thêm tr...

02/10/2024 12:00:00 9
Với bản nâng cấp cho Microsoft Paint, người dùng rất háo hức muốn xem chất lượng hình ảnh mọi người ...

Máy tính liên tục khởi động lại vì bản c...

01/10/2024 12:00:00 14
Máy tính gặp sự cố sẽ xuất hiện lỗi màu xanh lam hoặc xanh lục, đôi khi xuất hiện công cụ Windows Au...

Lỗ hổng ChatGPT macOS có thể kích hoạt p...

30/09/2024 08:00:00 56
Một lỗ hổng bảo mật hiện đã được vá trong ứng dụng ChatGPT của OpenAI dành cho macOS có thể khiến kẻ...

Phát hiện lỗi lạ gây ra hiệu suất thiếu ...

30/09/2024 12:00:00 4
Trong thời gian sớm nhất, bản cập nhật mới sẽ được phát hành ra công chúng.

Mozilla đối mặt với ​​khiếu nại về quyền...

27/09/2024 08:00:00 59
Tổ chức phi lợi nhuận về quyền riêng tư noyb (viết tắt của None Of Your Business) có trụ sở tại Vien...
Xem thêm

TAGS

LIÊN HỆ

Thông tin liên hệ