Троян Emotet научился распространяться не только через интернет, но и через ближайшие к зараженному компьютеру сети Wi-Fi и заражать новые компьютеры, сообщают исследователи в области информационной безопасности из компании Binary Defense. Судя по коду вредоносной программы, такая возможность у нее появилась как минимум полтора года назад, однако заметить ее удалось лишь теперь.
Emotet — это троян, который был впервые обнаружен в 2014 году и до сих пор активно применяется, причем хакеры адаптируют его код, чтобы избегать обнаружения и использовать новые техники заражения устройств. Сам по себе Emotet в основном используется именно для проникновения с систему, а после этого загружает дополнительное вредоносное программное обеспечение для непосредственной задачи, например, кражи данных или рассылки спама.
Обычно он распространялся через приложения к электронной почте или через зараженные компьютеры в локальной сети. В январе специалисты из Binary Defense обнаружили, что новая версия трояна использует достаточно редкий и потенциально эффективный механизм — распространение через сети Wi-Fi вокруг.
После попадания на компьютер с Windows троян с помощью wlanAPI получает список устройств Wi-FI, а затем при помощи первого попавшегося собирает данные обо всех окружающих сетях и пробует к ним подключиться. Если сеть защищена паролем, то троян пробует подключиться с помощью встроенного списка паролей. Если подключение удалось, программа засыпает на 14 секунд и посылает комбинацию из названия сети и пароля на сервер злоумышленников.
Затем троян с помощью второго списка паролей пытается подобрать пароль пользователей и администраторов подключенных к роутеру Windows-устройств через общий ресурс. Если ему это удается, он закрепляется в системе и может начать всю схему с начала, распространяясь на новые устройства.
Исследователи отмечают, что исполняемый файл, используемый для распространения, датирован апрелем 2018 года, а в начале мая его впервые загрузили в базу VirusTotal. Специалисты также отметили, что главной причиной успеха трояна стала распространенность слабых паролей.
Опасность распространения вредоносного программного обеспечения через беспроводную связь уже не первый раз становится предметом исследований. Например, в 2016 году исследователи экспериментально показали, что умные лампочки потенциально способны стать причиной эпидемии в интернете вещей, распространяя команды на соседние устройства.
Исследования, моделирующие распространение вредоносного программного обеспечения, показывают, что потенциально оно способно за несколько дней охватывать целые регионы, причем из-за распространения Wi-Fi в последние годы вероятность такого сценария увеличивается.
Григорий Копиев