الرئيسية / أخبار تقنية / تطور فايروس Emotet لينتشر عبر اتصالات الواي فاي

تطور فايروس Emotet لينتشر عبر اتصالات الواي فاي

‫عثر Emotet وهو حصان طروادة سيء السمعة وراء عدد من حملات البريد المزعج المدفوعة بالروبوتات وهجمات الفدية على متجه جديد للهجوم واستخدام الأجهزة المصابة بالفعل للتعرف على الضحايا الجدد المتصلين بشبكات الواي فاي القريبة.‬

ووفقًا للباحثين في Binary Defense فإن عينة Emotet المكتشفة حديثًا تعمل على تعزيز وحدة “Wi-Fi spreader” لمسح شبكات الواي فاي ثم محاولة إصابة الأجهزة المتصلة بها.‬

وبحسب شركة الأمن السيبراني فإن الموزع الخاص بشبكة وآي فاي له طابع زمني في 16 أبريل 2018 مما يشير إلى أن سلوك الانتشار قد تم تشغيله “دون أن يلاحظه أحد” منذ ما يقرب من عامين حتى تم اكتشافه لأول مرة الشهر الماضي.‬

ويمثل هذا التطور تصعيدًا في قدرات Emotet حيث أن الشبكات القريبة من الضحية الأصلية أصبحت الآن عرضة للإصابة.‬

كيف تعمل وحدة الموزع اللاسلكي لشبكة Emotet‬

يعمل الإصدار المحدّث من البرامج الضارة عن طريق الاستفادة من مضيف تم اختراقه بالفعل لإدراج جميع شبكات الواي فاي القريبة وللقيام بذلك تستخدم واجهة wlanAPI لاستخراج SSID وقوة الإشارة وطريقة المصادقة (WPA أو WPA2 أو WEP) وطريقة التشفير المستخدمة لتأمين كلمات المرور.‬

وعند الحصول على المعلومات الخاصة بكل شبكة بهذه الطريقة تحاول الدودة الاتصال بالشبكات عن طريق تنفيذ هجوم القوة الغاشمة باستخدام كلمات المرور التي تم الحصول عليها من إحدى قائمتَي كلمة المرور الداخلية بشرط فشل الاتصال وينتقل إلى كلمة المرور التالية في القائمة وليس من الواضح على الفور كيف تم وضع قائمة كلمات المرور هذه معًا.‬

وفي حالة نجاح العملية تقوم البرامج الضارة بتوصيل النظام المشبوه على الشبكة التي تم الوصول إليها حديثًا ويبدأ في تعداد كافة المشاركات غير المخفية وثم ينفذ جولة ثانية من هجوم القوة الغاشمة لتخمين أسماء المستخدمين وكلمات المرور لجميع المستخدمين المتصلين بمورد الشبكة.‬

وبعد نجاح المستخدمين الذين أجبروا على استخدام كلمات المرور الفاشلة وكلمات المرور الخاصة بهم تنتقل الدودة إلى المرحلة التالية عن طريق تثبيت حمولات ضارة – تسمى “service.exe” – على الأنظمة البعيدة المصابة حديثًا ولإخفاء سلوكها يتم تثبيت الحمولة كخدمة نظام Windows Defender‬

بالإضافة إلى الاتصال بخادم الأوامر والتحكم (C2) تعمل الخدمة كقطارة وتقوم بتنفيذ Emotet الثنائية على المضيف المصاب.‬

كما أن حقيقة Emotet يمكنها القفز من شبكة وآي فاي إلى شبكة أخرى تفرض على الشركات مسؤولية تأمين شبكاتها بكلمات مرور قوية لمنع الوصول غير المصرح به ويمكن اكتشاف البرامج الضارة من خلال مراقبة العمليات التي يتم تشغيلها من المجلدات المؤقتة ومجلدات بيانات تطبيق ملف تعريف المستخدم بشكل نشط.‬

تحولت Emotet التي تم تحديدها لأول مرة في عام 2014 من جذورها الأصلية باعتبارها حصان طروادة المصرفي إلى “سكين الجيش السويسري” التي يمكن أن تكون بمثابة التنزيل وسرقة المعلومات و spambot اعتمادا على كيفية نشرها.‬

وعلى مر السنين كانت آلية تسليم فعالة للفدية وتم تعطيل شبكة تكنولوجيا المعلومات في ليك سيتي في يونيو الماضي بعد أن فتح أحد الموظفين عن غير قصد رسالة بريد إلكتروني مشبوهة قام بتنزيل Emotet Trojan والذي قام بدوره بتنزيل TrickBot trojan و Ryuk ransomware.‬

على الرغم من أن الحملات التي تحركها Emotet اختفت إلى حد كبير طوال صيف عام 2019 إلا أنها عادت في شهر سبتمبر عبر “رسائل البريد الإلكتروني المستهدفة جغرافيا مع السحر والعلامات التجارية وغالبا ما تكون ذات طابع مالي واستخدام مرفقات المستندات الخبيثة أو روابط لوثائق مماثلة والتي عندما يقوم المستخدمون بتمكين وحدات الماكرو وقاموا بتثبيت Emotet. “‬

‫أخيرًا لخص باحثو الدفاع الثنائي إلى أنه “باستخدام هذا النوع من اللوادر المكتشفة حديثًا والمستخدم من قبل Emotet يتم تقديم ناقل تهديد جديد لقدرات Emotet ويمكن أن يستخدم Emotet هذا النوع من اللوادر للانتشار عبر الشبكات اللاسلكية القريبة إذا كانت الشبكات تستخدم كلمات مرور غير آمنة.”‬

المصدر

عن فدوى

شاهد أيضاً

سيسكو: سيكون لدى الهند أكثر من 907 مليون مستخدم للإنترنت بحلول عام 2023

ذكرت الشركة الأمريكية سيسكو ‫والمتخصصة في مجال تقنية المعلومات والشبكات‬ في تقريرها السنوي للإنترنت بإنه …

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *