銀行木馬Emotet 再進化, 新增 Wi-Fi 散播能力

一種新的 Emotet 病毒變種被發現透過無線網路連線來散播，這點與過往不同，這個惡名昭彰的銀行木馬一般是利用垃圾郵件活動作為散播的管道。研究員表示，這種新的載入器類型能利用 wlanAPI 介面，將病毒從遭感染的裝置散播到未加密的 Wi-Fi 網路。

2014 年，趨勢科技偵測到 Emotet，病毒碼為 TrojanSpy.Win32.EMOTET.THIBEAI。它最初是一種金融服務惡意軟體，透過感染電腦來竊取敏感資訊，過去一直是以垃圾郵件活動為管道，並利用當時的新聞 (例如武漢肺炎-新型冠狀病毒) 和特殊事件 (例如感恩節) 作為誘餌。感染的情況若嚴重，可能導致整個 IT 網路停擺。近來，Emotet 也會利用新聞報導內文讓惡意軟體迴避偵測。

[請參閱：深入了解 Emotet：多層運作機制]

Emotet 如何透過 Wi-Fi 散播?

如今 Emotet 可以從遭感染的裝置與伺服器傳至 Wi-Fi 網路，這些網路便能進一步感染其他裝置，很有可能造成永無止盡的感染迴圈,該病毒感染其他裝置的方式：

首先，Emotet 會感染一個宿主 (可能是電腦或其他裝置)，接著會下載並執行 Wi-Fi 散播模組。
此 Wi-Fi 模組會列出宿主啟用的 Wi-Fi 裝置，得到一組可連接的 Wi-Fi 網路。
模組接著會針對各個列出的 Wi-Fi 網路展開暴力攻擊，運用兩組內部清單，內容是一連串容易猜中的密碼，這些清單的來源不明。
如果攻擊成功，模組便會進行第二次暴力攻擊，猜測與遭入侵 Wi-Fi 網路連線之電腦和伺服器的登入憑證。
如果第二次攻擊也成功，這個循環便回到第一步，展開下一輪的感染行動。

2018 年五月，在這些攻擊中使用的執行檔紀錄才首次提交至 VirusTotal，表示 Emotet 藉由 Wi-Fi 擴散的能力近 2 年來都沒有被偵測出來。

趨勢科技識別該威脅為 Worm.Win32.EMOTET.AA 與 TrojanSpy.Win32.EMOTET.TIABOFHL。

別把通行證交給攻擊者

加密 Wi-Fi 裝置對阻擋威脅來說極為重要，其中一種簡單的做法，就是使用安全的密碼。對使用者來說，要記得複雜的密碼非常困難，更別提輸入這些密碼要花很長的時間，因此許多人會選擇容易被猜到的密碼，例如「abc123」、「qwerty」，有些人甚至連預設的密碼都不改。然而，這種做法對 Wi-Fi 裝置而言 (其實對任何裝置都是如此)，就像是把通行證交給攻擊者，讓他進到家中，甚至進入工作網路。

除了確保各種裝置和網路都使用安全性強的密碼之外，企業可以藉由確實啟用加密來進一步保護 Wi-Fi 裝置。系統管理員也應密切監控網路，才能發現可疑活動的跡象。

大多數的 Emotet 仍是透過垃圾郵件活動散播，因此員工應持續留意社交工程（social engineering）的電子郵件，Emotet 和其他惡意軟體系列能以此為進入點。

[請參閱：透過機器學習來擺脫垃圾郵件與其它威脅]

因為 Emotet 會影響端點、伺服器和網路，運用一套多層次防護系統確實有相當的重要性，要在集中可視性和控制度的情況下，保護閘道器、端點、網路和伺服器。

至於特殊保護，趨勢科技Network Defense 有 XGen安全防護提供安全防護，保護網路中已知、未知或未公開的弱點。它能偵測並回應針對目標攻擊，不論攻擊是橫向、傳入或傳出進行。

趨勢科技Deep Discovery進階網路安全防護解決方案提供偵測功能、深度分析，並主動回應攻擊。有一個層級能執行 email 檢查，透過偵測惡意附件和 URL 對企業進行保護，可偵測到遠端指令碼，就算沒有在端點下載也一樣。Trend Micro 趨勢科技的Deep Discovery Inspector 解決方案能透過以下 DDI 規則來保護客戶不受 Emotet 攻擊：

4320 – EMOTET – HTTP (Request) – Variant 6
4345 – EMOTET – HTTP (Request) – Variant 7

SHA-1	趨勢科技預測性機器學習偵測	趨勢科技模式偵測
a9c13d03e2f056d233ed7b7c97a6dc2b1ec70a50	Troj.Win32.TRX.XXPE50FFF033	Worm.Win32.EMOTET.AA
1e7c5ada1ac91990b20215397cb9ce9fd66528dd	N/A	TrojanSpy.Win32.EMOTET.TIABOFHL
a97fbd3a89ba663ab9eb3488ff47665b21d17107	N/A	Worm.Win32.EMOTET.AA