安全企业Binary Defense本周披露,最近他们发现了金融木马Emotet添增了一项新功能,可借由Wi-Fi网络来传播,以扩大感染范围。
Emotet最早出现在2014年,主要的功能为窃取受感染设备上的金融凭证,不过它是支复杂的木马,还可用来下载其它恶意程序,包括基于不同任务的定制化模块与插件程序,例如用来窃取Outlook通讯录,或是借由局域网络传播等。
过去Emotet通常通过垃圾邮件或已被感染的网络来传播,不过,Binary Defense近来发现一个新的Emotet模块,可利用wlanAPI接口来列出附近的Wi-Fi网络,再企图入侵Wi-Fi网络,以感染连接该网络的所有设备。
第一个进驻受害系统的,是一个可自我解压缩的RAR文件,解压缩后会出现worm.exe及service.exe两个执行档,自动执行的worm.exe可用来分析周边的无线网络环境,以取得附近无线网络的信息,并企图利用暴力破解法来入侵无线网络,成功后再创建无线网络与C&C黑客服务器之间的连接,之后即锁定连接该无线网络的用户,同样以暴力破解法来猜测用户凭证。
完成任务的worm.exe即会在用户的系统上安装service.exe,以创建永久进驻能力,再连接C&C服务器,这时黑客已可传送真正的金融木马到受害设备上。
根据研究人员的分析,worm.exe的时间戳为2018年的4月,而且在同年5月就曾被提交到VirusTotal,意味着该模块很早就存在,也许是相关的恶意行为一直未被发现,或者是该模块的使用频率并不高,事实上,该Wi-Fi感染模块必须破解两个凭证才能成功,只要采用更强大的密码,就会提高其攻击难度。
Emotet不仅能加载窃取信息的模块,也能加载勒索软件或其它恶意程序模块,且该恶意木马同时在功能及扩散能力上不断地进化,持续造成个人或组织的损失,美国宾州的阿伦敦市曾在2018年遭到Emotet攻击,当时该市宣称并未被植入勒索软件,但估计最后还是花了100万美元的成本来修复。