Дослідники в області комп’ютерне безпеки з компанії Binary Defense заявили про те, що троян Emotet може переміщатися не тільки через інтернет, але і через найближчі до зараженого комп’ютера мережі Wi-Fi. Судячи по коду вірусу, така здатність з’явилася у нього ще 1,5 роки тому, але виявити її вдалося тільки зараз.
Вперше Emotet був виявлений 2014-го року. Він активно використовується хакерами досі. Проникаючи в систему, вірус завантажує шкідливе ПО для, наприклад, крадіжки даних або розсилки спаму.
Зазвичай він поширювався через додатки до електронної пошти або через заражені комп’ютери в локальній мережі. У січні фахівці з Binary Defense виявили, що нова версія трояна використовує досить рідкісний і потенційно ефективний механізм – поширення через мережі Wi-Fi, що є навколо.
Після потрапляння на комп’ютер з Windows троян за допомогою wlanAPI отримує список пристроїв Wi-FI, а потім збирає дані про всі оточуючi мережi і пробує до них підключитися. Якщо мережа захищена паролем, то троян намагається підключитися за допомогою вбудованого списку паролів. Якщо підключення вдалося, програма засинає на 14 секунд і посилає комбінацію з назви мережі і пароля на сервер зловмисників.
Після цього за допомогою другого списку паролів троян намагається підібрати пароль користувачів і адміністраторів підключених до мережі пристроїв. Якщо у нього це виходить, він закріплюється в системі та починає схему з початку.
Джерело: zn.ua