Emotet je sofistikovaný trojský kůň, který obvykle také funguje jako „zavaděč“ pro další malware. Jednou z jeho klíčových vlastností je podpora modulů, kterými lze rozšiřovat jeho schopnosti. Díky nim dokáže například vykrádat kontakty z aplikace Outlook nebo se šířit po lokální síti.
Emotet s Wi-Fi vylepšením
Útok začíná tím, že si Emotet do složky C:\ProgramData stáhne soubor v podobě samorozbalovacího archivu ve formátu RAR. Tento archiv pak obsahuje dva binární soubory (service.exe a worm.exe) používané pro šíření přes bezdrátové sítě.
Soubor worm.exe se po rozbalení automaticky spustí – jde o hlavní aplikaci používanou pro šíření. Jistým paradoxem je, že tento soubor byl poprvé zachycen online antivirem VirusTotal již v dubnu 2018, přesto až dosud unikal pozornosti.
Trojský kůň Emotet se umí šířit přes Wi-Fi
Červ následně začne přes dynamickou knihovnu wlanAPI.dll zjišťovat dostupné Wi-Fi sítě, přičemž se zajímá o jejich jméno (SSID), sílu signálu, zabezpečení a šifrování. Následně podnikne útok typu „brute-force“ (hrubou silou), kterým se pokusí dostat do sítí a do jednotlivých zařízení.
Šíří se jako virus
Když se infikovaný stroj připojí do nové sítě, začne Emotet zkoušet procházet všechny skryté sdílené položky. Následně se k nim pokouší připojit pod nejrůznějšími uživatelskými účty, včetně administrátorského. V případě úspěchu pak provede infiltraci trojského koně do daného zařízení.
Malware se v takovém případě nejprve pokusí získat přístup ke sdílené složce C$, což mu umožní pracovat s diskem daného stroje. Následně uloží soubor service.exe pod názvem my.exe a přidá a spustí novou službu, kterou pojmenuje jako Windows Defender System Service.
Služba pak zajišťuje dva základní úkoly. Tím prvním je komunikace se vzdáleným serverem útočníka na pevně nastavené IP adrese 45.79.223.161:443, který tak může malware ovládat na dálku. Druhým úkolem je stažení a spuštění souboru s trojským koněm Emotet.
Více informací zde: https://www.zive.cz/clanky/nebezpecny-trojsky-kun-emotet-ziskal-nove-schopnosti–dokaze-se-sirit-pres-wi-fi/sc-3-a-202443/default.aspx
Komentáře