พบ Emotet สายพันธุ์ใหม่แพร่กระจายผ่าน WiFi
Emotet ตัวใหม่ถูกพบว่าสามารถกระจายผ่านการเชื่อมต่อ WiFi นอกเหนือจากการแพร่ผ่านอีเมลอย่างที่เคยทำในอดีต นักวิจัยจาก Binary Defense ระบุ Emotet ใช้ประโยชน์จาก wlanAPI interface ในการแพร่กระจายไปยังอุปกรณ์ที่เชื่อมต่อกับเครือข่าย WiFi ที่ไม่ปลอดภัย
Emotet ถูกค้นพบ Trend Micro ในชื่อ TrojanSpy.Win32.EMOTET.THIBEAI เมื่อปี 2014 ซึ่งในการปรากฎครั้งแรกเป็นมัลแวร์ขโมยข้อมูลสำคัญด้านการเงินแพร่ผ่านสแปมอีเมล ใน Emotet ตัวใหม่ๆ สามารถสร้างผลกระทบได้ถึงการปิดระบบเน็ตเวิร์คทั้งระบบ
Emotet กระจายผ่าน WiFi ได้ด้วยวิธีดังต่อไปนี้
• โฮสต์ติด Emotet
• Emotet ดาวน์โหลดและทำงานโมดูล WiFi spreader
• โมดูล WiFi spreader ทั้งหมดจะแสดงรายการอุปกรณ์ Wi-Fi ทั้งหมดที่เปิดใช้งานบนโฮสต์ (ปกติจะเป็น WLAN NIC)
• โมดูลจะแสดงของเครื่องที่เข้าถึงเครือข่าย WiFi
• WiFi spreader จะดำเนินการโจมตีโดย brute-force ในแต่ละเครือข่าย WiFi โดยพยายามถอดรหัสจากรายการรหัสผ่านสองรายการที่ฝังมาในโมดูล ซึ่งรายการทั้งสองเป็นรายการที่รวบรวมรหัสผ่านที่ง่ายต่อการคาดเดาไว้
• ถ้าการโจมตี brute-force สำเร็จ Emotet สามารถเชื่อมต่อโดยตรงกับเครือข่ายอื่น WiFi spreader จะย้ายไปโจมตี brute-force ครั้งที่สองเพื่อสุ่มชื่อผู้ใช้และรหัสผ่านของเซิฟเวอร์หรือคอมพิวเตอร์ที่เชื่อมต่อกับเครือข่าย WiFi
• ถ้า brute-force ครั้งที่สองสำเร็จ Emotet จะเพิ่มการฝังตัวอยู่ในเครือข่ายที่สอง และจะกลับไปเริ่มต้นใหม่เพื่อข้ามไปยังอีกเครือข่าย
วิธีการง่ายๆที่จะทำให้อุปกรณ์ Wi-Fi ปลอดภัยคือการใช้รหัสผ่านที่มีความซับซ้อนยากต่อการคาดเดา
แต่ Emotet ส่วนใหญ่ยังคงแพร่กระจายผ่านทางสแปมอีเมล ควรต้องระวังอีเมล Social Engineering ที่ Emotet และมัลแวร์ตัวที่คล้ายกันใช้เพื่อแพร่กระจาย
ที่มา : trendmicro
You must be logged in to post a comment.