悪名高い Windows マルウェア Emotet の新しい亜種は、Wi-Fi ネットワーク パスワードを総当たり攻撃し、感染する共有ドライブをスキャンすることで、ワイヤレスで拡散することができます。
トロイの木馬攻撃のワーム化は Binary Defense の研究者らによって発見された。同研究者らは今月、コードのタイムスタンプから判断して、この手法は 1 月に発見される前の 2 年間もの間、検出されずに実行されていた可能性があると報告した。
「Emotet が使用するこの新しく発見されたローダータイプにより、Emotet の機能に新たな脅威ベクトルが導入されます」と Binary Defense は、このソフトウェアの脆弱性に関する詳細な調査の中で説明しています。
「これまではマルスパムや感染したネットワークを通じてのみ拡散すると考えられていた Emotet ですが、安全でないパスワードを使用しているネットワークの場合、このローダー タイプを使用して近くのワイヤレス ネットワークを通じて拡散する可能性があります。」
このケースでは、Binary Defenseチームは、マルウェアがPCにインストールされ実行された後、2つの新しい実行ファイルをダウンロードして読み込むことを発見しました。これらのペイロードは自身を解凍し、Wi-Fiネットワークに接続するための正規のWindowsコードライブラリであるwlanAPI.dllを呼び出します。このライブラリを使用して、マルウェアは近隣のWi-Fiネットワークを列挙し、それらへの接続を試みます。必要に応じて、パスワードを推測することで、総当たり攻撃による侵入を試みます。
これが成功すると、マルウェアはコマンドアンドコントロールサーバーに接続し、侵入した無線ネットワーク上のWindows PCに対する2回目のブルートフォース攻撃を開始する許可を得ます。具体的には、Wi-Fi上で見つかったネットワーク共有のユーザーパスワードと管理者パスワードを推測し、ログインして感染させようとします。こうして、1人のユーザーが感染すると、通知や操作なしに、そのネットワークまたは周囲の無線ネットワーク上の他のすべてのユーザーにマルウェアを拡散させるというシナリオが成立します。
Emotet がコンピューターに侵入すると、その主は Emotet に、被害者のオンライン バンク アカウントを乗っ取るランサムウェアやトロイの木馬など、他の悪質なプログラムを呼び込むよう指示する可能性があります。
ハリケーン・フローレンスで浸水した公共施設にマルウェアの脅威が追い打ちをかける
続きを読む
この手法が発見されたのは1月下旬だったが、Binary Defenseは、実行ファイルのタイムスタンプとサンプルのVirusTotalシグネチャの日付が2018年5月まで遡ると指摘した。
「これは、このWi-Fi拡散行為が2年近くも気づかれずに続いていたことを示唆している」と研究者らは報告している。「これは、バイナリがドロップされる頻度が非常に低いことが一因である可能性がある」
研究チームによると、もう一つの可能性は、仮想マシンで悪質なソフトウェアを研究していたバグハンターが、この動作を単に検知できなかったという点だ。これらのサンドボックスはエミュレートされたWi-Fiカードで構成されている可能性は低いため、wlanAPIの呼び出しは失敗し、トロイの木馬は何もしていないように見える。これは意図的な回避策である可能性もあれば、マルウェアの首謀者にとって単なる幸運な偶然である可能性もある。
いずれにしても、マルウェアから身を守る最善の方法は、すべてのシステムおよびウイルス対策ソフトウェアを最新の状態に保ち、簡単にはブルートフォース攻撃できない認証スキームを使用することです。®
