القائمة الرئيسية

الصفحات

فيروس Emotet يخترق الان الشبكات القريبة لاصابة ضحايا جدد

فيروس Emotet يخترق الان الشبكات القريبة لاصابة ضحايا جدد

فيروس Emotet يخترق الان الشبكات القريبة لاصابة ضحايا جدد
Emotet ، هو حصان طروادة شهير والذي يشتهر بعدد من حملات البريد العشوائي وهجمات الفدية التي تقودها الbotnet ، على متجه جديد للهجوم: استخدام الأجهزة المصابة بالفعل لتحديد الضحايا الجدد المتصلين بشبكات Wi-Fi القريبة.
وفقًا للباحثين في Binary Defense ، تقوم عينة Emotet المكتشفة حديثًا بتطوير وحدة "Wi-Fi spreader" لمسح شبكات Wi-Fi ، ثم تحاول إصابة الأجهزة المتصلة بها.

قالت شركة الأمن السيبراني إن الموزع الخاص بشبكة Wi-Fi له طابع زمني بتاريخ 16 أبريل 2018 ، مما يشير إلى أن سلوك الانتشار قد تم تشغيله "دون أن يلاحظه أحد" منذ ما يقرب من عامين حتى تم اكتشافه لأول مرة الشهر الماضي.
ويمثل هذا التطور تصعيدًا في قدرات Emotet ، حيث أن الشبكات القريبة من الضحية الأصلية أصبحت الآن عرضة للإصابة.

كيف تعمل وحدة الموزع اللاسلكي لشبكة Emotet؟
يعمل الإصدار المحدّث من الفيروس عن طريق الاستفادة من مضيف تم اختراقه بالفعل لإدراج جميع شبكات Wi-Fi القريبة. للقيام بذلك ، تستخدم واجهة wlanAPI لاستخراج SSID وقوة الإشارة وطريقة المصادقة (WPA أو WPA2 أو WEP) وطريقة التشفير المستخدمة لتأمين كلمات المرور.

عند الحصول على المعلومات الخاصة بكل شبكة بهذه الطريقة ، تحاول الدودة الاتصال بالشبكات عن طريق تنفيذ هجوم القوة الغاشمة باستخدام كلمات المرور التي تم الحصول عليها من إحدى قائمتَي كلمات المرور الداخلية. في حالة فشل الاتصال ، ينتقل إلى كلمة المرور التالية في القائمة. ليس من الواضح على الفور كيف تم وضع قائمة كلمات المرور هذه معًا.

الأمن السيبراني Emotet

ولكن في حالة نجاح العملية ، يقوم الفيروس بالاتصال بالجهاز الذي تم اختراقه على الشبكة التي تم الوصول إليها حديثًا ويبدأ في تعداد كافة الshares الغير المخفية. ثم ينفذ جولة ثانية من هجوم القوة الغاشمة لتخمين أسماء المستخدمين وكلمات المرور لجميع المستخدمين المتصلين بالشبكة.

بعد نجاح الدخول باستخدام اسماء المستخدمين وكلمات المرور الخاصة بهم ، تنتقل الدودة إلى المرحلة التالية عن طريق تثبيت حمولات ضارة - تسمى "service.exe" - على الأنظمة البعيدة المصابة حديثًا. لإخفاء سلوكها ، يتم تثبيت الحمولة كخدمة نظام Windows Defender WinDefService.

بالإضافة إلى الاتصال بخادم الأوامر والتحكم (C2) ، تعمل الخدمة على تنزيل ملفات emotet جديدة وتقوم بتشغيلها على المضيف المصاب.

حقيقة أن Emotet يمكنها القفز من شبكة Wi-Fi إلى شبكة أخرى تفرض على الشركات مسؤولية تأمين شبكاتها بكلمات مرور قوية لمنع الوصول غير المصرح به. يمكن أيضًا اكتشاف البرامج الضارة من خلال مراقبة العمليات التي يتم تشغيلها من المجلدات المؤقتة ومجلدات بيانات تطبيق ملف تعريف المستخدم بشكل نشط.

Emotet: من Trojan Banking إلى Malware Loader
تحولت Emotet ، التي تم تحديدها لأول مرة في عام 2014 ، من جذورها الأصلية باعتبارها حصان طروادة مصرفي إلى "سكين الجيش السويسري" التي يمكن أن تكون بمثابة اداة لتنزيل برمجيات خبيثة اخرى، وسرقة المعلومات ، و spambot اعتمادا على كيفية نشرها.

على مر السنين ، كانت أيضًا آلية تسليم فعالة للفدية. تم تعطيل شبكة تكنولوجيا المعلومات في ليك سيتي في يونيو الماضي بعد أن فتح أحد الموظفين عن غير قصد رسالة بريد إلكتروني مشبوهة قام بتنزيل Emotet Trojan ، والذي قام بدوره بتنزيل TrickBot trojan و Ryuk ransomware.

على الرغم من أن الحملات التي يحركها فيروس Emotet اختفت إلى حد كبير طوال صيف عام 2019 ، إلا أنها عادت في شهر سبتمبر عبر "رسائل البريد الإلكتروني المستهدفة جغرافيا ، وغالبا ما تكون ذات طابع مالي ، واستخدام مرفقات المستندات الخبيثة أو روابط لوثائق مماثلة ، والتي عندما يقوم المستخدمون بتمكين وحدات الماكرو ، يبدا تثبيت الفيروس.

 باحثو Binary Defense قالوا "باستخدام هذا النوع من القدرات المكتشفة حديثًا والمستخدمة من قبل الفيروس، يتم تقديم ناقل تهديد جديد لقدرات Emotet". "يمكن أن يستخدم Emotet هذا النوع من القدرات للانتشار عبر الشبكات اللاسلكية القريبة إذا كانت الشبكات تستخدم كلمات مرور غير آمنة."

هل لديك ما تقوله حول هذه المقالة؟ يمكنك التعليق أدناه أو مشاركتها معنا على Facebook أو Twitter.
reaction:

تعليقات