Emotet که بدافزاری مورد استفاده در تعدادی از کمپین های بات نتی و حمله های باج افزاری است، اخیراٌ روش خاصی را برای نفوذ به سیستم های کاربران پیدا کرده است. این بدافزار می تواند از دستگاه های آلوده برای شناسایی قربانیان جدیدی که در نزدیکی این دستگاه ها به شبکه های وای فای متصل هستند، استفاده کند.
به گفته پژوهشگران Binary Defense، نمونه تازه کشف شده بدافزار Emotet، به منظور اسکن شبکه های وای فای و تلاش برای آلوده کردن دستگاه های متصل به این شبکه ها، از «ماژول پخش کننده وای فای» استفاده می کند. این پیشرفت بدافزاری موجب افزایش قابلیت های Emotet شده است، زیرا شبکه هایی که از نظر فیزیکی به قربانی نزدیک باشند، امکان آلودگی دارند.
ماژول پخش کننده وای فای Emotet چگونه کار می کند؟
نسخه به روز شده بدافزار Emotet از رایانه میزبانی که قبلاً مورد هدف قرار داده است، سوءاستفاده می کند تا بتواند شبکه های وای فای نزدیک به خود را جستجو کند. این بدافزار برای انجام چنین کاری، از رابط wlanAPI جهت استخراج شناسه های کاربری شبکه (SSID) و همچنین میزان قدرت سیگنال، روش های احراز هویت و الگوریتم های رمزنگاری (WPA، WPA2 یا WEP) آنها استفاده می کند.
Emotet پس از به دست آوردن اطلاعات هر شبکه از این طریق، سعی می کند با انجام حمله حدس کلمات عبور و با استفاده از گذرواژه های به دست آمده، به شبکه ها متصل شود. چنانچه حمله موفقیت آمیز باشد این بدافزار، شبکه را از طریق سیستمی که به خطر افتاده و به آن دسترسی یافته است، متصل کرده و شروع به فهرست برداری از یکایک سیستم های موجود در آن شبکه می کند. سپس در قدم بعدی، اقدام به حدس زدن تمامی نام های کاربری و کلمه های عبور کاربران متصل به این شبکه می کند.
این بدافزار رایانه ای بعد از نفوذ به سیستم ها از راه دور، از طریق نصب پی لودهای مخربی در پردازه service.exe، وارد مرحله جدید خود شده و برای پنهان کردن رفتار مخربش، پیلودهایی را با عنوان “Windows Defender System Service” بر روی سیستم های آلوده نصب می کند. همچنین می تواند سازوکارهای لازم برای ارتباط با سرورهای فرماندهی و کنترل خود را بر روی سیستم ها فعال کند.
محافظت های سازمانی
این واقعیت که Emotet می تواند توسط یک شبکه وای فای به سایر شبکه ها نیز نفوذ کند، سازمان ها را وادار می سازد تا کارکنان را ملزم به انتخاب کلمه های عبور قوی تر جهت محافظت از شبکه های سازمانی کرده تا بتوانند از هرگونه دسترسی غیرمجاز جلوگیری به عمل آورند.
بدافزار Emotet را می توان از طریق نظارت فعال بر فرایندهای در حال اجرا شناسایی کرد. محققان Binary Defense معتقدند که با قابلیت جدیدی که به این بدافزار افزوده شده است: «اگر شبکه ها همچنان از رمزهای عبوری با امنیت پایین استفاده کنند، Emotet به راحتی می تواند از این شبکه ها برای گسترش خود در شبکه های بی سیمی که در نزدیکی آن وجود دارند استفاده کند».
منبع: thehackernews