Троян научился распространяться через ближайшие к зараженному компьютеру сети Wi-Fi

Исследователи в области компьютерное безопасности из компании Binary Defense заявили о том, что троян Emotet может перемещаться не только через интернет, но и через ближайшие к зараженному компьютеру сети Wi-Fi. Судя по коду вируса, такая способность появилась у него еще 1,5 года назад, но обнаружить ее удалось только сейчас, сообщает N+1.

Впервые Emotet был обнаружен в 2014 году. Он активно используется хакерами до сих пор. Он проникает в систему, а после этого загружает дополнительно вредоносное ПО для непосредственной задачи, например, кражи данных или рассылки спама.

Обычно он распространялся через приложения к электронной почте или через зараженные компьютеры в локальной сети. В январе специалисты из Binary Defense обнаружили, что новая версия трояна использует достаточно редкий и потенциально эффективный механизм - распространение через сети Wi-Fi вокруг.

После попадания на компьютер с Windows троян с помощью wlanAPI получает список устройств Wi-FI, а затем при помощи первого попавшегося собирает данные обо всех окружающих сетях и пробует к ним подключиться. Если сеть защищена паролем, то троян пробует подключиться с помощью встроенного списка паролей. Если подключение удалось, программа засыпает на 14 секунд и посылает комбинацию из названия сети и пароля на сервер злоумышленников.

После этого с помощью второго списка паролей троян пытается подобрать пароль пользователей и администраторов подключенных к сети устройств. Если у него это получается, он закрепляется в системе и начинает схему с начала.