Mã độc Emotet hack mạng Wi-Fi xung quanh để lây nhiễm cho nhiều nạn nhân mới

www.tuoitre.vn -   12/02/2020 10:00:00 9455

Emotet là một loại mã độc trojan khét tiếng đằng sau các chiến dịch spam và mã độc tống tiền ransomware do botnet điều khiển, đã tìm ra một vector tấn công mới: sử dụng các thiết bị đã bị nhiễm mã độc đã xác định các nạn nhân mới thông qua kết nối Wi-Fi xung quanh.

Mã độc Emotet hack mạng Wi-Fi xung quanh để lây nhiễm cho nhiều nạn nhân mới

Theo các chuyên gia bảo mật của Binary Defense, mã độc Emotet biến thể mới có chứa một “Wi-Fi spreader” có thể quét các mạng Wi-Fi gần đó, và sau đó cố gắng lây nhiễm cho các thiết bị đang kết nối với mạng Wi-Fi này.

Công ty bảo mật cho biết Wi-Fi Spreader có tem thời gian là 16/4/2018, cho thấy hành vi lây lan này đã hoạt động ngầm trong gần 2 năm nay cho đến khi bị phát hiện lần đầu tiên và tháng trước.

Sự phát triển đánh dấu sự leo thang các khả năng của Emotet, vì các mạng gần gũi với nạn nhân ban đầu hiện dễ bị nhiễm mã độc.

Cơ chế hoạt động của Wi-Fi Spreader trên Emotet

Phiên bản biến thể mới cập nhật của mã độc hoạt động trên khả năng lên danh sách tất cả các mạng Wi-Fi gần đó. Để có thể làm được việc này, nó sử dụng wlanAPI để chiết xuất SSID, độ mạnh của tín hiệu, các phương pháp mã hóa bảo mật (WPA, WPA2 hoặc WEP) cũng như các chế độ mã hóa được sử dụng để bảo mật bằng mật khẩu.

Mã độc Emotet hack mạng Wi-Fi xung quanh để lây nhiễm cho nhiều nạn nhân mới

Sau khi thu thập toàn bộ dữ liệu của từng mạng, mã độc cố gắng kết nối với mạng Wi-FI bằng cách thự thi các đợt tấn công sử dụng mật khẩu lấy từ một trong hai danh sách mật khẩu nội bộ. Khi kết nối không thành công, nó sẽ chuyển sang các mật khẩu trong danh sách. Hiện vẫn chưa rõ làm cách nào mà những mật khẩu này được liệt kê ra.

Nhưng nếu thao tác kết nối thành công, mã độc sẽ kết nối xâm nhập hệ thống mạng và bắt đầu liệt kê các phần chia sẻ mạng. Sau đó, nó thực hiện một tấn công thứ hai để đoán tên người dùng và mật khẩu của tất cả người dùng được kết nối với mạng Wi-Fi này.

Sau khi có được tên người dùng và mật khẩu, mã độc sẽ chuyển sang giai đoạn tiếp theo là cài đặt các trình độc hại được gọi là service.exe trên các hệ thống mới lây nhiễm từ xa mới. Để che giấu hành vi của mình, các trình độc hại này mạo danh là một dịch vụ Windows Defender System Service (WinDefService)

Ngoài việc liên lạc với máy chủ chỉ huy và kiểm soát (C2), dịch vụ này hoạt động như một trình nhỏ giọt và thực thi nhị phân Emotet trên máy chủ bị nhiễm.

Việc Emotet có thể nhảy từ mạng Wi-Fi này sang mạng khác đặt các công ty lên mạng để bảo mật mạng của họ bằng mật khẩu mạnh để ngăn chặn truy cập trái phép. Phần mềm độc hại cũng có thể được phát hiện bằng cách chủ động theo dõi các quá trình đang chạy từ các thư mục tạm thời và các thư mục dữ liệu ứng dụng hồ sơ người dùng.

Minh Hương

TIN CÙNG CHUYÊN MỤC

Microsoft kêu gọi khách hàng bảo mật máy...

31/01/2023 08:00:00 52
Microsoft đang kêu gọi khách hàng cập nhật máy chủ Exchange của họ cũng như thực hiện các bước để củ...

Hơn 134 triệu lượt tấn công các thiết bị...

30/01/2023 08:00:00 59
Các nhà nghiên cứu bảo mật đang cảnh báo về sự gia tăng đột biến các nỗ lực khai thác tấn công lỗ hổ...

Apple phát hành các bản cập nhật cho các...

26/01/2023 08:00:00 37
Apple đã đưa ra các bản sửa lỗi cho một lỗ hổng bảo mật nghiêm trọng được tiết lộ gần đây ảnh hưởng ...

Facebook giới thiệu các tính năng mới ch...

25/01/2023 08:00:00 39
Nền tảng Meta vào thứ Hai đã thông báo rằng họ đã bắt đầu mở rộng thử nghiệm toàn cầu về mã hóa đầu ...

Mã độc Emotet trở lại và lợi hại hơn xưa

24/01/2023 08:00:00 49
Mã độc Emotet đã được tiếp tục tinh chỉnh chiến thuật và trở nên lợi hại hơn khi vượt qua tầm kiểm s...

Cửa hàng ứng dụng Samsung Galaxy Store b...

23/01/2023 08:00:00 49
Hai lỗ hổng bảo mật đã được tiết lộ trong ứng dụng Galaxy Store của Samsung dành cho Android có thể ...
Xem thêm

TAGS

LIÊN HỆ

Thông tin liên hệ