「Emotet」に近接「Wi-Fi」経由で感染を拡大する機能

メールやRDP経由で感染を広げることで知られる「Emotet」だが、感染端末よりアクセス可能な無線LANに侵入を試み、別のネットワーク上にある端末へ感染を広げるケースがあることがわかった。

Binary Defenseが「Emotet」におけるあらたな感染経路について報告したもの。感染後にドロップされるモジュールにより、アクセス可能な近接する「Wi-Fi」ネットワークへアクセスを試み、侵入に成功するとさらに別の端末へ拡散しようとしていた。

具体的には、感染端末内で「wlanAPI.dll」を用いて使用可能な無線LANネットワークの情報を収集。パスワードが設定されたネットワークには、あらかじめ用意したリストを用いてアクセスを試みていた。

さらに「Wi-Fi」へ接続すると、ネットワークを通じてアクセスできるデバイスに対し、パスワードスプレー攻撃を展開。ユーザー名とパスワードを変えながらアクセスを試行し、感染を広げるワーム機能を備えていたという。

（Security NEXT - 2020/02/14 ） ツイート

PR

関連記事

「Emotet」相談、引き続き高い水準 - 偽脅迫メールは増加
JNSAが選ぶ2020年10大ニュース、気になる1位は……
活動再開「Emotet」、1000社以上で観測 - 発見遅らせる機能強化も
12月21日より「Emotet」感染メール増加 - あらためて警戒を
コロナ禍ではじめて迎える冬期長期休暇 - あらためてセキュ対策の確認を
既存サービスを「Emotet」対策として提供 - BBSec
PC2台が「Emotet」感染、顧客情報含むメールが流出 - ひらまつ
「Emotet」だけじゃない - メール返信偽装、PW付zipファイル悪用マルウェアに要警戒
職員端末が「Emotet」感染、診療系システムには影響なし - 関西医科大
2020年3Qの標的型攻撃メールは9件 - 不審メールの情報提供は15倍、大半「Emotet」