在上周唤醒并开始向全球发送垃圾邮件之后,Emotet现在再次在受感染的Windows计算机上安装了TrickBot木马。
在经历了五个多月的不活动之后,2020年7月17日,Emotet Trojan再度来袭,开始进行大规模的垃圾邮件活动,假装为付款报告,发票,运输信息和就业机会。
这些垃圾邮件包含恶意文档,当打开并启用宏时,这些文档将在收件人的计算机上安装Emotet木马。
从历史上看,一旦用户感染了Emotet,该木马最终将在受感染的计算机上下载并安装TrickBot木马。
直到今天,二进制防御研究人员James Quinn 告诉BleepingComputer,他开始看到Emotet再次安装了TrickBot木马。
TrickBot及其为何如此危险
TrickBot是一种感染Windows计算机的高级恶意软件,通常被认为是针对企业网络的。
使TrickBot如此危险的原因是它将下载在受感染计算机上执行各种恶意活动的模块。
该活动包括:
- 试图通过网络横向传播
- 窃取Active Directory服务数据库
- 收获来自浏览器的登录凭据和饼干
- 窃取OpenSSH密钥
- 窃取RDP,VNC和腻子凭证
- 窃取银行凭证
但是,更糟糕的是,一旦TrickBot从受感染的网络中收获了任何有价值的东西,它将为Ryuk和Conti Ransomware参与者打开反向shell。
这种反向外壳将使勒索软件操作员可以访问网络,窃取未加密的文件,然后部署他们的勒索软件来加密网络的所有计算机。
网络和安全管理员需要确保对其网络上的用户进行有关Emotet垃圾邮件活动的充分教育,并且不要打开任何可疑文档。
此外,如果计算机可能会受到Emotet的破坏,那么它们也可能会受到TrickBot的破坏。
应该启动全面调查,其中包括评估感染是否已传播到网络上的其他计算机。
*编译:Domino
*来自:bleepingcomputer