Mã độc Emotet hack mạng Wi-Fi xung quanh để lây nhiễm cho nhiều nạn nhân mới

www.tuoitre.vn -   12/02/2020 10:00:00 9285

Emotet là một loại mã độc trojan khét tiếng đằng sau các chiến dịch spam và mã độc tống tiền ransomware do botnet điều khiển, đã tìm ra một vector tấn công mới: sử dụng các thiết bị đã bị nhiễm mã độc đã xác định các nạn nhân mới thông qua kết nối Wi-Fi xung quanh.

Mã độc Emotet hack mạng Wi-Fi xung quanh để lây nhiễm cho nhiều nạn nhân mới

Theo các chuyên gia bảo mật của Binary Defense, mã độc Emotet biến thể mới có chứa một “Wi-Fi spreader” có thể quét các mạng Wi-Fi gần đó, và sau đó cố gắng lây nhiễm cho các thiết bị đang kết nối với mạng Wi-Fi này.

Công ty bảo mật cho biết Wi-Fi Spreader có tem thời gian là 16/4/2018, cho thấy hành vi lây lan này đã hoạt động ngầm trong gần 2 năm nay cho đến khi bị phát hiện lần đầu tiên và tháng trước.

Sự phát triển đánh dấu sự leo thang các khả năng của Emotet, vì các mạng gần gũi với nạn nhân ban đầu hiện dễ bị nhiễm mã độc.

Cơ chế hoạt động của Wi-Fi Spreader trên Emotet

Phiên bản biến thể mới cập nhật của mã độc hoạt động trên khả năng lên danh sách tất cả các mạng Wi-Fi gần đó. Để có thể làm được việc này, nó sử dụng wlanAPI để chiết xuất SSID, độ mạnh của tín hiệu, các phương pháp mã hóa bảo mật (WPA, WPA2 hoặc WEP) cũng như các chế độ mã hóa được sử dụng để bảo mật bằng mật khẩu.

Mã độc Emotet hack mạng Wi-Fi xung quanh để lây nhiễm cho nhiều nạn nhân mới

Sau khi thu thập toàn bộ dữ liệu của từng mạng, mã độc cố gắng kết nối với mạng Wi-FI bằng cách thự thi các đợt tấn công sử dụng mật khẩu lấy từ một trong hai danh sách mật khẩu nội bộ. Khi kết nối không thành công, nó sẽ chuyển sang các mật khẩu trong danh sách. Hiện vẫn chưa rõ làm cách nào mà những mật khẩu này được liệt kê ra.

Nhưng nếu thao tác kết nối thành công, mã độc sẽ kết nối xâm nhập hệ thống mạng và bắt đầu liệt kê các phần chia sẻ mạng. Sau đó, nó thực hiện một tấn công thứ hai để đoán tên người dùng và mật khẩu của tất cả người dùng được kết nối với mạng Wi-Fi này.

Sau khi có được tên người dùng và mật khẩu, mã độc sẽ chuyển sang giai đoạn tiếp theo là cài đặt các trình độc hại được gọi là service.exe trên các hệ thống mới lây nhiễm từ xa mới. Để che giấu hành vi của mình, các trình độc hại này mạo danh là một dịch vụ Windows Defender System Service (WinDefService)

Ngoài việc liên lạc với máy chủ chỉ huy và kiểm soát (C2), dịch vụ này hoạt động như một trình nhỏ giọt và thực thi nhị phân Emotet trên máy chủ bị nhiễm.

Việc Emotet có thể nhảy từ mạng Wi-Fi này sang mạng khác đặt các công ty lên mạng để bảo mật mạng của họ bằng mật khẩu mạnh để ngăn chặn truy cập trái phép. Phần mềm độc hại cũng có thể được phát hiện bằng cách chủ động theo dõi các quá trình đang chạy từ các thư mục tạm thời và các thư mục dữ liệu ứng dụng hồ sơ người dùng.

Minh Hương

TIN CÙNG CHUYÊN MỤC

Kaspersky tiết lộ những lỗ hổng bảo mật ...

23/09/2022 08:00:00 100
Các cuộc tấn công mạng vẫn có thể được ngăn chặn trước khi kẻ tấn công xâm nhập vào mạng nội bộ. Việ...

Cách xem mật khẩu Wi-Fi của bạn trong iO...

19/09/2022 08:00:00 33
Quên mật khẩu cho một trong các mạng Wi-Fi của bạn? Hãy để Kaspersky chỉ cho bạn cách tìm lại mật kh...

Cách phục hồi tin nhắn đã xoá trên iPhon...

16/09/2022 08:00:00 32
Trong bài viết này, Kaspersky sẽ hướng dẫn bạn cách phục hồi tin nhắn đã xoá trên iPhone của bạn.

64 lỗ hổng bảo mật mới đã được Microsoft...

15/09/2022 08:00:00 31
Hôm thứ Ba, gã khổng lồ công nghệ Microsoft đã đưa ra các bản sửa lỗi để khắc phục 64 lỗi bảo mật mớ...

Apple phát hành bản cập nhật iOS và macO...

14/09/2022 08:00:00 29
Apple đã phát hành một đợt cập nhật bảo mật khác để giải quyết nhiều lỗ hổng trong iOS và macOS, bao...

Khu vực APAC chiếm 24% số email độc hại ...

13/09/2022 08:00:00 66
Kể từ khi được gửi đi lần đầu tiên năm 1978, đến nay thư rác tăng lên không chỉ về số lượng, mà còn ...
Xem thêm

TAGS

LIÊN HỆ

Thông tin liên hệ