此破坏性僵尸网络可能会传播到附近的WiFi网络

在过去的几年中,一种名为Emotet的恶意软件已经成为互联网上的头号美食。Emotet窃取人们的银行帐户并安装其他类型的恶意软件。Emotet的代码库非常复杂,并且会不断发展以诱骗目标点击恶意链接。

例如,去年9月,Emotet开始了垃圾邮件运行,该垃圾邮件按收件人的姓名发送邮件,并引用了过去发送或接收的电子邮件。这使垃圾邮件威胁得以广泛传播。现在,Emotet向前迈进了一步,正在使用已经受到威胁的设备来感染连接到附近WiFi网络的其他设备。

运作方式如下

据ArsTechnica报道,Emotet的运营商使用的是该恶意软件的更新版本,该恶意软件使用受感染的设备来“枚举附近的所有WiFi网络”。该恶意软件正在使用名为wlanAPI的编程接口来“配置SSID,信号强度以及WPA或其他加密方法用于密码保护访问的配置”。然后,恶意软件继续使用两个密码列表之一来“猜测常用的默认用户名和密码组合”。

一旦受感染的设备可以访问新的WiFi网络,它将枚举连接到该WiFi网络的所有非隐藏设备。然后,它使用第二个密码列表来尝试和猜测连接到驱动器的每个用户的凭据。

如果没有任何连接的用户被感染,则该恶意软件将尝试“猜测共享资源管理员的密码”。

Emotet主要是通过恶意电子邮件传播而闻名,但随着这个新版本的出现,Emotet像“病毒”一样在受感染的网络上从一个设备传播到另一个设备。如果它能够成功猜出所连接设备的密码,则会将Emotet恶意软件与其他恶意软件(如Ryuk勒索软件或TrickBot)一起加载,以“交换由这些活动的运营商支付的费用”。

Emotet已从感染受感染网络内部的设备转变为从一个网络转移到另一个网络。

更改那些弱密码

“随着Emotet使用的这种新发现的装载机类型,Emotet的功能引入了新的威胁向量。安全公司Binary Defense的研究人员在最近发表的一篇文章中写道:以前被认为只能通过垃圾邮件和受感染的网络进行传播,如果网络使用的密码不安全,Emotet可以使用这种加载程序类型通过附近的无线网络进行传播。

Binary Defense帖子说:“新的Wi-Fi传播器的时间戳为2018年4月,并在一个月后首次提交给VirusTotal恶意软件搜索引擎”。虽然该模块是在大约两年前创建的,但是Binary Defense直到上个月才发现它在野外使用。

这款新的吊具展示了拥有强大的密码来限制对WiFi网络访问的重要性。“ Emotet先前已知的在网络内的设备之间传播的能力已经强调了使用强密码来限制对连接到本地网络的设备的访问的重要性,” ArcTechnia报道。

为确保不易破解,应始终随机生成密码,并且密码不得少于11个字符。

新型WiFi扩展器的一方面与Emotet惯于精巧的隐秘之处有所不同。“该模块使用未加密的连接与攻击者控制的服务器进行通信。这使人们可以轻松地检测出可用于检测感染的流量模式。” ArsTechnica报告。

还可以通过“主动监视连接的设备是否正在安装新服务,并监视从临时文件和用户配置文件应用程序数据文件夹运行的任何进程或服务”来检测恶意软件。