Emotet恶意软件现在侵入附近的Wi-Fi网络，感染新的受害者

Emotet是一种臭名昭著的特洛伊木马，它是一系列僵尸网络驱动的垃圾邮件活动和勒索软件攻击的幕后黑手。它发现了一种新的攻击载体：使用已经感染的设备识别连接到附近Wi-Fi网络的新受害者。

据Binary Defense的研究人员称，新发现的表情符号sample利用“Wi-Fi扩展器”模块扫描Wi-Fi网络，然后尝试感染连接到网络的设备。

这家网络安全公司表示，Wi-Fi扩展器的时间戳为2018年4月16日，这表明这种传播行为已经“不被注意”了近两年，直到上个月首次被发现。

这一发展标志着Emotet功能的升级，因为在物理上接近原始受害者的网络现在很容易受到感染。

Emotet的Wi-Fi扩展器模块是如何工作的？

该恶意软件的更新版本通过利用已经受损的主机列出附近的所有Wi-Fi网络来工作。为此，它利用wlanAPI接口提取SSID、信号强度、身份验证方法（WPA、WPA2或WEP）以及用于保护密码的加密模式。

通过这种方式获取每个网络的信息时，蠕虫会尝试通过使用从两个内部密码列表之一获取的密码执行暴力攻击来连接到网络。如果连接失败，它将移动到列表中的下一个密码。目前尚不清楚这些密码是如何组合在一起的。


但如果操作成功，恶意软件会将受损系统连接到新访问的网络上，并开始枚举所有未隐藏的共享。然后，它执行第二轮暴力攻击，以猜测连接到网络资源的所有用户的用户名和密码。

在成功地对强制用户及其密码进行暴力攻击后，蠕虫通过安装恶意有效载荷进入下一阶段—；名为“service.exe”和#8212；在新感染的远程系统上。为了掩盖其行为，有效负载作为Windows Defender系统服务（WinDefService）安装。

除了与指挥与控制（C2）服务器通信外，该服务还充当滴管，在受感染的主机上执行Emotet二进制文件。

Emotet可以从一个Wi-Fi网络跳到另一个Wi-Fi网络，这让公司有责任使用强密码保护其网络，以防止未经授权的访问。还可以通过主动监视临时文件夹和用户配置文件应用程序数据文件夹中运行的进程来检测恶意软件。

Emotet：从银行特洛伊木马到恶意软件加载程序

2014年首次发现的Emotet已从最初的银行特洛伊木马演变为“瑞士军刀”，根据其部署方式，它可以充当下载程序、信息窃取程序和spambot。

多年来，它也是勒索软件的有效交付机制。去年6月，一名员工无意中打开了一封下载了Emotet特洛伊木马的可疑电子邮件，导致莱克城的IT网络瘫痪，而后者又下载了TrickBot特洛伊木马和Ryuk勒索软件。

尽管Emotet驱动的活动在2019年夏天基本上消失了，但它在9月通过“带有本地语言诱惑和品牌、通常以财务为主题、并使用恶意文档附件或指向类似文档的链接（当用户启用宏时，这些附件或链接安装了Emotet”的地理定位电子邮件卷土重来

二进制防御研究人员总结道：“有了Emotet使用的这种新发现的装载机类型，一种新的威胁向量被引入了Emotet的能力。”。“如果网络使用不安全的密码，Emotet可以使用这种加载程序类型在附近的无线网络中传播。”