このEmotet、マルウェアのWi-Fi拡散機を本格的なモジュールにし、この新しい機能を追加することでさらに脅威となっています。

　以前は、EmotetがWi-Fiワームモジュールを使用して近くの安全でないワイヤレスネットワークを介して新しい犠牲者に広がることができることが出来ました。今回のモジュールの更新はスタンドアロンからマルウェアモジュールへ変更されており、Wi-Fi拡散の機能がローダー以外のペイロードを配信することを可能にするように変更を行っております。このスプレッダーは、デバイスのC$シェアをブルート強制に失敗した場合に、ターゲットネットワーク上のADMIN$共有をブルート強制することもできます。
　さらに、スプレッダがブルートフォースC$/ADMIN$を試みる前に、ハードコードされたIPから、リモートでインストールするサービスバイナリをダウンロードしようとし、このダウンロードが失敗した場合、終了する前にデバッグ文字列 "ファイルのダウンロード中にエラー" が送信されます。
　マルウェアの作成者はまた、感染したデバイス上のEmotetをドロップするために使用されるservice.exeバイナリを微調整し、現在はコマンドアンドコントロール(C&C)サーバーからローダーをダウンロードし、侵害されたコンピュータにfirefox.exeとして保存し、最新のローダーバージョンが展開されていることが確認なっています。

　このメソッドは、Emotet 開発者が 「Emotet ローダーからフラグを立て、サービス実行可能ファイルをオフにする可能性がある検出を回避する」ためにも使用されます。

　Emotetの作成者はまた、スプレッダーのログ機能をわずかに変更し、そのオペレータが「新しい通信プロトコルを使用して感染した犠牲者からステップバイステップのデバッグログを取得する」ことを可能にしています。この新しい通信プロトコルは、ボットの MachineGUID に関する情報を提供する 2 つの PHP POST 引数を使用し、ランタイム中にマルウェアによって生成された文字列をデバッグします。

　EmotetのWi-Fi拡散モジュールのアップデートは、マルウェアの著者が大規模なスパムキャンペーンを介してターゲットに配信される通常の悪意のある文書に加えて、マルウェアローダーのための新しい感染ベクトルを追加することにも焦点を当てていることを示しています。

　スプレッダーに新たに焦点を当てて、Emotetの開発者は、野生で積極的に研究している間に研究者と被害者の両方によってますます発見される可能性が最も高い、より有能で危険なWi-Fiワームモジュールを開発するためのまっすぐな道を歩んでいます。

　Emotetはもともと2014年に最初に発見された銀行トロイの木馬であり、Trickbot Bankingトロイの木馬(琉球ランサムウェアペイロードを提供するための既知のベクトル)を含む様々な他のマルウェアファミリーをインストールするために使用されるマルウェアローダーに進化しました。

　最近ではこのマルウェアは、最近のコロナウイルスの世界的な健康危機を餌として使用した迷惑メールキャンペーンで1月下旬に配信されました。

　また、1月には、サイバーセキュリティ・インフラセキュリティ庁(CISA)は、標的となるエモテット攻撃に関連する活動の増加を警告しました。

　オーストラリアサイバーセキュリティセンター(ACSC)も、エモテ攻撃がもたらす危険性について警告を発し、マルウェアは「攻撃者に追加の攻撃を行うことができるネットワークの足場を提供し、ランサムウェアの展開を通じてさらなる妥協につながることが多い」と述べております。

　このEmotet、さらに強化していますので十分注意を行ってください