Emotet là một trojan khét tiếng gây ra một số chiến dịch botnet spam và tấn công ransomware trong quá khứ. Mới đây, những kẻ đứng sau Emotet đã tìm thấy một vectơ tấn công mới: sử dụng các thiết bị đã bị nhiễm và xác định nạn nhân mới được kết nối với mạng Wi-Fi gần đó.
Theo các nhà nghiên cứu tại Binary Defense, Emotet mới được phát hiện sử dụng mô-đun “bộ phát Wi-Fi” để quét các mạng Wi-Fi gần nó và lây nhiễm các thiết bị được kết nối với mạng đó.
Công ty an ninh mạng cho biết thiết bị phát tán Wi-Fi có dấu thời gian là ngày 16/4/2018. Có thể thấy rằng, việc lây lan đã diễn ra trong gần hai năm mà không bị phát hiện, cho đến tháng 1 vừa rồi mới bị phát hiện lần đầu tiên.
Sự tiến hóa này của Emotet cho thấy khả năng lây lan của malware này ngày một gia tăng, vì các mạng ở gần thiết bị bị nhiễm đều có thể đã bị lây nhiễm.
Mô-đun bộ phát Wi-Fi của Emotet hoạt động như thế nào?
Phiên bản cập nhật của malware này hoạt động bằng cách tận dụng thiết bị đã bị xâm nhập để liệt kê tất cả các mạng Wi-Fi gần đó. Để làm được điều này, Emotet sử dụng giao diện wlanAPI để trích xuất SSID, cường độ tín hiệu, phương thức xác thực (WPA, WPA2 hoặc WEP) và chế độ mã hóa được sử dụng để bảo mật mật khẩu.
Khi có được thông tin mạng, nó cố gắng kết nối với các mạng bằng một cuộc tấn công brute-force bằng các mật khẩu thu được từ một trong hai danh sách mật khẩu nội bộ. Hiện tại các nhà nghiên cứu vẫn chưa hiểu rõ danh sách mật khẩu này được kết hợp như thế nào.
Nếu quá trình trên thành công, malware sẽ kết nối hệ thống nạn nhân với mạng vừa mới truy cập và bắt đầu liệt kê tất cả các thiết bị không bị ẩn. Sau đó, nó thực hiện một cuộc tấn công brute-force thứ hai để đoán tên người dùng và mật khẩu của tất cả người dùng được kết nối với mạng.
Sau khi tìm được người dùng và mật khẩu của nạn nhân, Emotet chuyển sang giai đoạn tiếp theo bằng cách cài đặt các payload độc hại được gọi là “service.exe” – trên các hệ thống mới bị nhiễm. Để che giấu hành vi của nó, payload được cài đặt dưới dạng Windows Defender System Service (WinDefService).
Ngoài việc liên lạc với máy chủ chỉ huy và kiểm soát (C2 – command-and-control), dịch vụ này hoạt động như một trình dropper (dropper là một loại Trojan đã được thiết kế để “cài đặt” một số loại phần mềm độc hại cho hệ thống đích) và thực thi nhị phân Emotet trên máy chủ bị nhiễm.
Vì Emotet có thể nhảy từ mạng Wi-Fi này sang mạng khác nên các công ty cần cài bảo mật mạng bằng mật khẩu mạnh để ngăn chặn truy cập trái phép. Phần mềm độc hại cũng có thể được phát hiện bằng cách chủ động theo dõi các trình đang chạy từ các thư mục tạm thời và các thư mục dữ liệu ứng dụng hồ sơ người dùng.
Emotet: Từ Banking Trojan đến Trình tải phần mềm độc hại
Emotet xuất hiện lần đầu tiên vào năm 2014, đã biến đổi từ nguồn gốc ban đầu của nó từ một banking Trojan trở thành “Swiss Army knife” có thể đóng vai trò là trình tải xuống, đánh cắp thông tin hay Spambot tùy vào cách nó được triển khai.
Đây là một cơ chế phát tán ransomware hiệu quả trong những năm qua. Mạng CNTT của Lake City đã bị tê liệt vào tháng 6 năm ngoái sau khi một nhân viên vô tình mở một email đáng ngờ tải xuống Emotet Trojan, sau đó là tải xuống TrickBot trojan và Ryuk ransomware.
Mặc dù các chiến dịch Emotet phần lớn đã biến mất trong mùa hè 2019. Tuy nhiên nó đã trở lại vào tháng 9 thông qua “các email nhắm mục tiêu theo khu vực với các thương hiệu và ngôn ngữ địa phương, thường là theo chủ đề tài chính và sử dụng các tài liệu đính kèm độc hại hoặc liên kết tới các tài liệu độc hại. Khi người dùng kích hoạt macro, Emotet sẽ được cài đặt.”
Các nhà nghiên cứu của Binary Defense kết luận “Với loại trình tải nới được phát hiện này, các tính năng của Emotet sẽ có thêm một vectơ đe dọa mới. Emotet có thể sử dụng loại trình tải này để phát tán qua các mạng không dây gần đó nếu chúng sử dụng mật khẩu không an toàn.”
(Nguồn Securitydaily.net)