最具破坏性的僵尸网络之一：现在可以传播到附近的Wi-Fi网络

在过去的五年中，Emotet恶意软件已经成为一种主要的互联网威胁，掠夺了人们的银行账户并安装了其他类型的恶意软件。其代码库的复杂性以及用于诱骗目标点击恶意链接的定期发展方法（例如，在19年下旬，它开始了垃圾邮件运行，按名称处理收件人并引用了他们发送或接收的过去的电子邮件），使其能够传播广泛。

现在，Emotet正在采用另一种传播方式：使用已经受到威胁的设备来感染连接到附近Wi-Fi网络的设备。

不久前，Emotet的运营商被发现使用了更新版本，该版本使用受感染的设备来枚举附近的所有Wi-Fi网络。它使用称为wlanAPI的编程接口来配置SSID，信号强度以及使用WPA或其他加密方法进行密码保护访问。接着，该恶意软件使用两个密码列表之一来猜测常用的默认用户名和密码组合。成功访问新的Wi-Fi网络后，受感染的设备会枚举与其连接的所有非隐藏设备。然后，使用第二个密码列表，恶意软件尝试猜测连接到驱动器的每个用户的凭据。如果没有连接的用户被感染，恶意软件将尝试猜测共享资源管理员的密码。

虽然Emotet以通过恶意电子邮件运行进行传播而广为人知，但也已观察到它以蠕虫般的方式在受感染的网络之间从设备传播到另一设备。如果它成功地猜出了所连接设备的密码，则它将加载Emotet恶意软件以及可能的其他恶意软件（例如Ryuk勒索软件或TrickBot恶意软件），以换取这些活动的运营商支付的费用。Emotet不再满足于只感染受感染网络内部的设备，现在正使用新发现的版本在网络之间跳转。

当心弱密码

安全公司Binary Defense的研究人员在最近发表的一篇文章中写道：“通过Emotet使用的这种新发现的装载机类型，将新的威胁向量引入Emotet的功能。” “以前被认为只能通过垃圾邮件和受感染的网络进行传播，如果网络使用的密码不安全，Emotet可以使用这种加载程序类型通过附近的无线网络进行传播。”

Binary Defense帖子称，新的Wi-Fi传播器的时间戳为2018年4月，并于一个月后首次提交给VirusTotal恶意软件搜索引擎。虽然该模块是在大约两年前创建的，但是Binary Defense直到上个月才发现它在野外使用。

新记录的扩展器强调了使用强密码来限制对Wi-Fi网络访问的重要性。Emotet先前已知的在网络内的设备之间传播的能力已经强调了使用强密码来限制对连接到本地网络的设备的访问的重要性。密码应始终随机生成，并且不得少于11个字符。

新型Wi-Fi扩展器的一个方面与Emotet惯于隐蔽尖端的偏向不符。该模块使用未加密的连接与攻击者控制的服务器进行通信。这样一来，就可以轻松地检测出人们可以用来检测感染的流量模式。还可以通过主动监视连接的设备是否正在安装新服务并监视从临时文件和用户配置文件应用程序数据文件夹运行的任何进程或服务来检测恶意软件。Binary Defense帖子提供了其他危害指标。

Emotet 是最具危险性的恶意程序之一，它能窃取银行账号，安装不同类型的其它恶意程序。最近其运营者被发现开始采用新的方法进行传播：通过相邻的 Wi-Fi 网络。它利用名为 wlanAPI 的 API 收集附近无线网络的 SSID、信号强度、加密方法如 WPA，然后使用一个常用用户名密码组合列表尝试登陆。

如果成功登陆，被感染的设备会枚举所有连接到该网络的非隐藏设备，然后使用第二个密码列表去猜测连接设备的凭证。

它还会尝试猜共享资源的管理员密码。如果它成功猜出连接设备的密码，那么它就会加载 Emotet 和其它恶意程序。为保证安全，建议弱密码用户修改密码使用强密码。

长连接安全实验室招聘

http://connectseclab.com/daaec7912dcdca1b