Emotet działa podstępnie, zdobywając najpierw w firmie przyczółek, po tym gdy np. jakiś niefrasobliwy pracownik otworzy zainfekowany nim dokument Office, który został dołączony do poczty elektronicznej. Wtedy przystępuje ze zdwojoną siłą do działania, rozprzestrzeniając się gwałtownie po całej korporacyjnej sieci.

W ostatnich latach Emotet ograniczał się wyłącznie do atakowania komputerów i serwerów podłączonych do korporacyjnej sieci albo nawet jej niewielkiej części, gdyż wiele firm segmentuje swoje środowisko sieciowe, z czym Motet nie mógł sobie poradzić i atakował tylko to co jest w jego zasięgu.

Zobacz również:

• Usługa WhatsApp uruchamiana na urządzeniach iOS będzie bardziej bezpieczna
• Złośliwe oprogramowanie Qbot - czy jest groźne i jak się chronić?

Jednak ostatnio pojawiły się nowe wersje tego zagrożenia, które radzą sobie z segmentowaniem sieci. Odkrycia takiego dokonali eksperci do spraw bezpieczeństwa pracujący w firmie BinaryDefense. Ostrzegają oni administratorów systemów IT, aby byli przygotowani na to, że ta nowa, udoskonalona wersja trojana Emotej, może w każdej chwili zaatakować ich system IT.

Nowa edycja trojana wykorzystuje do tego celu sieci Wi-Fi, dlatego uruchamiany przez niego moduł realizujący to zadanie nosi nazwę WiFi Emotet. Ma on ułatwione zadanie, ponieważ apele o używanie silnych haseł chroniących sieci Wi-Fi nie odnoszą skutku i WiFi Emotet wykorzystuje bezlitośnie ten fakt.

Oznacza to jedno - komputery zainfekowane trojanem Emotet zagrażają nie tylko innym komputerom funkcjonującym w wewnętrznej sieci, ale również całej korporacyjnej sieci lub komunikującymi się nią innym sieciom.

WiFi Emotet atakuje zgodnie z następującym schematem:

1. Infekuje jeden z komputerów

2. Pobiera i uruchamia na nim moduł WiFi Spreader

3. Moduł WiFi Spreader sporządza listę urządzeń Wi-Fi podłączonych do komputera (badając WLAN NIC)

4. Moduł wyodrębnia z listy wszystkie lokalne sieci Wi-Fi

5. Moduł atakuje każdą dostępną sieć Wi-Fi (jest to atak typu brute-force), posługując się dwoma wewnętrznymi listami zawierającymi łatwe do odgadnięcia hasła.

6. Jeśli atak brute-force kończy się powodzeniem, Emotet WiFi ma dostęp do innej sieci, ale nie do pracujących w niej serwerów i komputerów.

7. Wtedy moduł uruchamia drugi atak „brute-force”, próbując odgadnąć dane uwierzytelniające użytkowników korzystających usług pracujących w tej sieci serwerów.

8. Gdy drugi atak brute-force udaje się, moduł zyskuje przyczółek w drugiej sieci i rozpoczyna swoją pracę od początku, opanowując kolejne sieci Wi-Fi.

Stąd apel do użytkowników sieci Wi-Fi. Usuńcie proste do odgadnięcia hasła i zastępujcie je naprawdę trudnymi do rozszyfrowania, a hulający w sąsiadujących z naszym systemem IT sieciach trojan będzie bezsilny i nie zaatakuje nas. Jest to najprostszy i nic nie kosztujący sposób obrony przed tym zagrożeniem.

Mamy i dobrą wiadomość. Jak podaje BinaryDefense, moduł WiFi Emotet jest niegroźny dla systemów Windows XP SP2 i Windows XP SP3, głównie z tego powodu iż wykorzystuje niektóre nowsze funkcje, których te systemy nie wspierają.