Emotet恶意软件在中断十个月后,于15日开始运行,该软件通过多次垃圾邮件攻击向全球邮箱发送恶意文档。
Emotet是一种恶意软件感染,通过带有恶意附件的垃圾邮件攻击传播。如果用户打开附件,恶意宏或JavaScript文件,将下载Emotet DLL并使用PowerShell将其加载到内存中。
一旦加载,恶意软件将搜索和窃取电子邮件,用于之后的垃圾邮件攻击,并植入额外的有效载荷,如TrickBot或Qbot,这些载荷通常会使设备遭勒索软件感染。
Emotet垃圾邮件攻击卷土重来
15日晚,网络安全研究人员布拉德·邓肯发表了一篇SANS-Handler日记,解释 Emotet僵尸网络是如何再一次滥发多个电子邮件,用Emotet恶意软件感染设备。
据邓肯说,垃圾邮件攻击使用重播链电子邮件诱使收件人打开附加的恶意Word、Excel文档和密码保护的ZIP文件。
回复链钓鱼电子邮件是指以前被盗的电子邮件线程与伪造的回复一起用于向其他用户分发恶意软件。
在邓肯分享的样本中,我们可以看到Emotet使用的回复链与“丢失的钱包”、网络星期一的促销、取消的会议、政治捐款活动以及牙科保险的终止有关。
这些电子邮件的附件是恶意宏的Excel或Word文档,或包含恶意Word文档的受密码保护的ZIP文件附件,示例如下所示。
目前有两个不同的恶意文件正在新的Emotet垃圾邮件中分发。
第一个是Excel文档模板,该模板说明文档只能在台式机或笔记本电脑上起效,用户需要单击“启用内容”以正确查看内容。
恶意Word附件正在使用“红色黎明””模板,并表示由于文档处于“受保护”模式,用户必须启用内容和编辑功能,才能正确查看。
Emotet附件如何感染设备
打开Emotet附件时,文档模板将声明预览不可用,您需要单击“启用编辑”和“启用内容”以正确查看内容。
但是,单击这些按钮后,将启用恶意宏,启动PowerShell命令,从受损的WordPress站点下载Emotet loader DLL并将其保存到C:\ProgramData文件夹。
下载后,将使用C:\Windows\SysWo64\rundll32.exe启动DLL,它将DLL复制到%LocalAppData%下的随机文件夹中,然后从该文件夹重新运行DLL。
一段时间后,Emotet将在HKCU\Software\Microsoft\Windows\CurrentVersion\Run下配置启动值,以便在Windows启动时启动恶意软件。
Emotet恶意软件现在将在后台静默运行,同时等待从其C&C服务器执行命令。
这些命令可以用于搜索电子邮件以进行窃取邮件并传播到其他计算机,还可以安装其他有效负载,如TrickBot或Qbot特洛伊木马。
目前,BleepingComputer还没有看到Emotet植入的任何额外有效载荷,这也得到了邓肯测试的证实。
邓肯告诉BleepingComputer:“我只在最近感染了Emotet的主机上看到过spambot活动。”。“我认为Emotet本周刚刚重新开始活动。”
“也许我们会在未来几周看到一些额外的恶意软件有效载荷,”研究人员补充道。
防御Emotet
恶意软件和僵尸网络监控组织Abuse.ch发布了245个C&C服务器的列表,外围防火墙可以阻止与C&C服务器的通信。
阻止与C2s的通信也将防止Emotet在受损设备上植入更多有效负载。
在2021年1月,一次国际执法行动摧毁了Emotet僵尸网络,十个月以来,该恶意软件一直保持沉寂。
然而,从周日晚上开始,活跃的TrickBot病毒开始在已经感染的设备上植入Emotet加载程序,为垃圾邮件攻击重建僵尸网络。
Emotet的再次活动是所有网络管理员、安全专业人员和Windows管理员必须监控的重大事件,以了解新的动态。