示意圖,Photo by Brian on https://www.flickr.com/photos/ncreedplayer/7269149362/ (CC BY-NC-SA 2.0)

資安業者Binary Defense本周揭露,最近他們發現了金融木馬Emotet添增了一項新功能,可藉由Wi-Fi 網路來散布,以擴大感染範圍。

Emotet最早出現在2014年,主要的功能為竊取受感染裝置上的金融憑證,不過它是支複雜的木馬,還可用來下載其它惡意程式,包括基於不同任務的客製化模組與外掛程式,例如用來竊取Outlook通訊錄,或是藉由區域網路散布等。

過去Emotet通常透過垃圾郵件或已被感染的網路來散布,不過,Binary Defense近來發現一個新的Emotet模組,可利用wlanAPI介面來列出附近的Wi-Fi網路,再企圖入侵Wi-Fi網路,以感染連接該網路的所有裝置。

第一個進駐受害系統的,是一個可自我解壓縮的RAR檔案,解壓縮後會出現worm.exe及service.exe兩個執行檔,自動執行的worm.exe可用來分析周遭的無線網路環境,以取得附近無線網路的資訊,並企圖利用暴力破解法來入侵無線網路,成功後再建立無線網路與C&C駭客伺服器之間的連結,之後即鎖定連結該無線網路的使用者,同樣以暴力破解法來猜測使用者憑證。

達成任務的worm.exe即會在使用者的系統上安裝service.exe,以建立永久進駐能力,再連結C&C伺服器,這時駭客已可遞送真正的金融木馬到受害裝置上。

根據研究人員的分析,worm.exe的時間戳為2018年的4月,而且在同年5月就曾被提交到VirusTotal,意味著該模組很早就存在,也許是相關的惡意行為一直未被發現,或者是該模組的使用頻率並不高,事實上,該Wi-Fi感染模組必須破解兩個憑證才能成功,只要採用更強大的密碼,就會提高其攻擊難度。

Emotet不只能載入竊取資訊的模組,也能載入勒索軟體或其它惡意程式模組,且該惡意木馬同時在功能及擴散能力上不斷地進化,持續造成個人或組織的損失,美國賓州的阿倫敦市曾在2018年遭到Emotet攻擊,當時該市宣稱並未被植入勒索軟體,但估計最後還是花了100萬美元的成本來修復。

熱門新聞

Advertisement