Emotet распространяется через слабо защищенные сети Wi-Fi

Faaerw

Если есть вопросы-пишите )
Главный Модератор
Joined
Jan 10, 2020
205
Messages
1,092
Reaction score
Emotet распространяется через слабо защищенные сети Wi-Fi

Emotetэто продвинутый модульный банковский троян, который в первую очередь выполняет функции загрузчика или переносчика других банковских троянов, с ним очень трудно бороться, так как он способен уклоняется от типичного сигнатурного обнаружения и распространяется самостоятельно.

Предположительно, распространение вредоноса через Wi-Fi-сеть тайно осуществляется в течение почти двух лет.
1581333167729.png

Специалисты из компании Binary Defense обнаружили и проанализировали вредоносную программу, которая способна распространять троянское ПО Emotet через близлежащие беспроводные Wi-Fi сети и компрометировать подключенные компьютеры.

Напомним, в сентябре нынешнего года Emotet вернулся к жизни после 4 месяцев бездействия. Операторы отправляли электронные письма, содержащие вредоносные файлы и ссылки на вредоносные загрузки. Жертвами кампании стали пользователи, говорящие на польском и немецком языках.

По словам исследователей, теперь у Emotet есть еще один более опасный способ распространения, который позволяет ему проникать в другие сети Wi-Fi и компрометировать компьютеры в них.

После заражения компьютера, подключенного к Wi-Fi сети, вредонос использует wlanAPI для обнаружения любых ближайших сетей Wi-Fi.

«Даже если данные сети защищены паролем, необходимым для подключения, вредоносная программа попробует подобрать из списка возможных вариантов правильный, и в случае успеха подключает зараженный компьютер к сети. Затем вредоносное ПО сканирует сеть на предмет компьютеров под управлением Windows с включенным общим доступом к файлам. Вредонос добывает список всех учетных записей пользователей на этих компьютерах и пытается взломать их методом брутфорса. Если пароль подобран правильно, вредоносная программа копирует себя на данный компьютер и запускает процесс установки с помощью удаленной команды на другом компьютере», — пояснили эксперты.

Затем вредонос посылает запрос C&C-серверу для подтверждения установки.

Как отметили эксперты, основной исполняемый файл Worm.exe, который вредоносная программа использует для распространения по беспроводной сети, имеет временную метку, относящуюся к апрелю 2018 года. Файл впервые был загружен на VirusTotal в мае того же года. Он содержал встроенный IP-адрес C&C-сервера, который использовал Emotet. Предположительно, подобное распространение вредоноса через Wi-Fi сеть тайно осуществляется в течение почти двух лет.

Так же по теме:
Уязвимость в «умных» лампочках Philips позволяет проникнуть в Wi-Fi-сеть



Эксперты из компании Check Point обнаружили опасную уязвимость в «умных» лампочках Philips Hue. Злоумышленник может эксплуатировать уязвимость с расстояния более 100 метров, чтобы получить доступ к целевой сети Wi-Fi.

Уязвимость (CVE-2020-6007) связана в реализацией протокола связи Zigbee в «умной» лампочке, которая может привести к проблеме переполнения буфера в куче.

ZigBee является широко используемой беспроводной технологией, разработанной для обеспечения взаимодействия между устройствами в сети. Протокол был внедрен в десятки миллионов устройств по всему миру, включая Amazon Echo, Samsung SmartThings, Belkin Emo и пр.

Эксплуатация данной уязвимости позволяет злоумышленнику проникнуть в компьютерную сеть дома или офиса по беспроводной сети и заразить ее вымогательским или шпионским ПО. Преступник может осуществлять атаку на расстоянии более 100 метров, имея при себе лишь ноутбук и антенну.

Переполнение буфера происходит в компоненте «bridge», который принимает удаленные команды, отправляемые на лампочку по протоколу Zigbee с других устройств, таких как мобильный телефон или голосовой помощник Alexa.

Эксперты решили не раскрывать полную техническую информацию и PoC-код для данной уязвимости, чтобы дать пользователям достаточно времени для применения исправлений, однако опубликовали видео с демонстрацией атаки.

Сценарий атаки заключается в следующем. Эксплуатируя обнаруженную уязвимость, злоумышленник взламывает «умную» лампочку. Устройство становится недоступным в пользовательском приложении управления, заставляя его перезагружать лампочку, а затем посылает инструкции компоненту «bridge», чтобы снова обнаружить устройство. Компонент обнаруживает контролируемую преступником лампочку с обновленной прошивкой, и пользователь добавляет ее обратно в свою сеть. Затем злоумышленник вызывает переполнение буфера в куче и устанавливает вредоносное ПО. Преступник может использовать вредоносное ПО для проникновения в сеть, в результате чего другие устройства, подключенные к ней, могут подвергнуться удаленному взлому.
 

Габен

Valve Corporation
VIP
Joined
Jan 12, 2020
728
Messages
3,664
Reaction score
Донат
100 руб.
Как хорошо что у меня дома нет умных лампочек. Потому что в моём доме в принципе нет ничего умного.
 
Top