Обнаружена новая версия очень сложного трояна, который может распространяться через сети Wi-Fi. Троян Emotet, который также выполняет роль загрузчика для других вредоносных программ, теперь использует интерфейс wlanAPI для распространения на все ПК в сети через беспроводное соединение Wi-Fi. Ранее он распространялся только через спам и зараженные сети.
Способность этого трояна проникать в сети через Wi-Fi с зараженного компьютера не обнаруживалась в течение как минимум двух лет. Когда вредоносное программное обеспечение входит в систему, оно начинает перечислять и профилировать беспроводные сети с помощью вызовов wlanAPI.dll, чтобы оно могло распространиться на любые доступные сети.
После этого вредоносная программа определяет методы аутентификации и шифрования и использует метод brute-force для проникновения в соединение. После успешного подключения ПО передаёт жестко запрограммированный HTTP POST-запрос на свой сервер управления и контроля. Если вредоносная программа не может угадать пароль, она пытается взломать учетную запись администратора. В случае успеха вредоносная программа может получить доступ к диску C на ПК, где она устанавливает другое вредоносное и вымогательское ПО, или ворует персональные данные и другую информацию.
Наилучшим способом предотвращения проникновения этого троянца через сеть Wi-Fi является использование сложных надёжных паролей. Зловред распространяется по сети, вводя простые и скомпрометированные пароли, поскольку он содержит хранилище ранее взломанных сетей. Сложный, трудно взламываемый пароль на сеть Wi-Fi предотвратит дальнейшее распространение Emotet в сети. IT-персонал также может прибегать к мониторингу служб, устанавливаемых во временных папках и папках данных приложений, поскольку известно, что файлы setup.exe помещаются в папку TEMP.
Источник: neowin