Mã độc Emotet hack mạng Wi-Fi xung quanh để lây nhiễm cho nhiều nạn nhân mới

www.tuoitre.vn -   12/02/2020 10:00:00 9858

Emotet là một loại mã độc trojan khét tiếng đằng sau các chiến dịch spam và mã độc tống tiền ransomware do botnet điều khiển, đã tìm ra một vector tấn công mới: sử dụng các thiết bị đã bị nhiễm mã độc đã xác định các nạn nhân mới thông qua kết nối Wi-Fi xung quanh.

Mã độc Emotet hack mạng Wi-Fi xung quanh để lây nhiễm cho nhiều nạn nhân mới

Theo các chuyên gia bảo mật của Binary Defense, mã độc Emotet biến thể mới có chứa một “Wi-Fi spreader” có thể quét các mạng Wi-Fi gần đó, và sau đó cố gắng lây nhiễm cho các thiết bị đang kết nối với mạng Wi-Fi này.

Công ty bảo mật cho biết Wi-Fi Spreader có tem thời gian là 16/4/2018, cho thấy hành vi lây lan này đã hoạt động ngầm trong gần 2 năm nay cho đến khi bị phát hiện lần đầu tiên và tháng trước.

Sự phát triển đánh dấu sự leo thang các khả năng của Emotet, vì các mạng gần gũi với nạn nhân ban đầu hiện dễ bị nhiễm mã độc.

Cơ chế hoạt động của Wi-Fi Spreader trên Emotet

Phiên bản biến thể mới cập nhật của mã độc hoạt động trên khả năng lên danh sách tất cả các mạng Wi-Fi gần đó. Để có thể làm được việc này, nó sử dụng wlanAPI để chiết xuất SSID, độ mạnh của tín hiệu, các phương pháp mã hóa bảo mật (WPA, WPA2 hoặc WEP) cũng như các chế độ mã hóa được sử dụng để bảo mật bằng mật khẩu.

Mã độc Emotet hack mạng Wi-Fi xung quanh để lây nhiễm cho nhiều nạn nhân mới

Sau khi thu thập toàn bộ dữ liệu của từng mạng, mã độc cố gắng kết nối với mạng Wi-FI bằng cách thự thi các đợt tấn công sử dụng mật khẩu lấy từ một trong hai danh sách mật khẩu nội bộ. Khi kết nối không thành công, nó sẽ chuyển sang các mật khẩu trong danh sách. Hiện vẫn chưa rõ làm cách nào mà những mật khẩu này được liệt kê ra.

Nhưng nếu thao tác kết nối thành công, mã độc sẽ kết nối xâm nhập hệ thống mạng và bắt đầu liệt kê các phần chia sẻ mạng. Sau đó, nó thực hiện một tấn công thứ hai để đoán tên người dùng và mật khẩu của tất cả người dùng được kết nối với mạng Wi-Fi này.

Sau khi có được tên người dùng và mật khẩu, mã độc sẽ chuyển sang giai đoạn tiếp theo là cài đặt các trình độc hại được gọi là service.exe trên các hệ thống mới lây nhiễm từ xa mới. Để che giấu hành vi của mình, các trình độc hại này mạo danh là một dịch vụ Windows Defender System Service (WinDefService)

Ngoài việc liên lạc với máy chủ chỉ huy và kiểm soát (C2), dịch vụ này hoạt động như một trình nhỏ giọt và thực thi nhị phân Emotet trên máy chủ bị nhiễm.

Việc Emotet có thể nhảy từ mạng Wi-Fi này sang mạng khác đặt các công ty lên mạng để bảo mật mạng của họ bằng mật khẩu mạnh để ngăn chặn truy cập trái phép. Phần mềm độc hại cũng có thể được phát hiện bằng cách chủ động theo dõi các quá trình đang chạy từ các thư mục tạm thời và các thư mục dữ liệu ứng dụng hồ sơ người dùng.

Minh Hương

TIN CÙNG CHUYÊN MỤC

Nguy cơ mất tiền từ Phishing - giả mạo đ...

22/04/2024 08:00:00 15
Giả mạo để lừa đảo (Phishing) là một chiêu thức không mới nhưng hiệu quả trong việc thu hút nạn nhân...

Tài khoản Microsoft 365 và Gmail đối mặt...

02/04/2024 12:00:00 491
Mặc dù xác thực hai yếu tố (2FA) được xem là phương pháp bảo mật an toàn nhưng bộ công cụ lừa đảo mớ...

Nếu vẫn dùng Windows 10 và muốn cập nhật...

01/04/2024 12:00:00 91
Không phải người dùng nào cũng muốn hoặc có đủ điều kiện để nâng cấp lên Windows 11 hay mua PC mới, ...

Năm công nghệ của Kaspersky để bảo vệ tà...

29/03/2024 08:00:00 485
Tài chính kỹ thuật số của chúng ta dễ bị tấn công bởi tội phạm kỹ thuật số. Hãy cùng xem xét cách cá...

Những ứng dụng Android độc hại núp bóng ...

29/03/2024 12:00:00 478
Nhiều ứng dụng trong số này tuyên bố cung cấp dịch vụ VPN (mạng riêng ảo) miễn phí nên đã có hàng tr...

Giải pháp bảo mật của Kaspersky giành đư...

28/03/2024 08:00:00 57
Vào năm 2023, các sản phẩm và giải pháp của Kaspersky đã tham gia chính xác 100 nghiên cứu độc lập —...
Xem thêm

TAGS

LIÊN HỆ

Thông tin liên hệ