在经历了近五个月的“假期”之后,Emotet 恶意软件操作再次向恶意电子邮件发送垃圾邮件,而臭名昭著的网络犯罪操作几乎没有活动。
Emotet 是一种恶意软件感染,通过包含恶意 Excel 或 Word 文档的网络钓鱼活动传播。当用户打开这些文档并启用宏时,Emotet DLL 将被下载并加载到内存中。
加载后,该恶意软件将搜索并窃取电子邮件以用于未来的垃圾邮件活动,并丢弃其他有效负载,例如 Cobalt Strike 或其他通常会导致勒索软件攻击的恶意软件。
虽然 Emotet 在过去被认为是分布最广的恶意软件,但它在 2022 年 6 月 13 日突然停止发送垃圾邮件。
Emotet 回归
Emotet 研究小组 Cryptolaemus的研究人员 报告说,在美国东部时间 11 月 2 日凌晨 4:00 左右,Emotet 操作突然再次活跃起来,向全球发送电子邮件地址。
Proofpoint 威胁研究员和 Cryptolaemus 成员 Tommy Madjar今天的 Emotet 电子邮件活动正在使用被盗的电子邮件回复链来分发恶意 Excel 附件。
从上传到 VirusTotal的样本中,发现以各种语言和文件名针对全球用户的附件,伪装成发票、扫描件、电子表格和其他诱饵。
示例文件名的部分列表如下所示:
Scan_20220211_77219.xls
fattura novembre 2022.xls
BFE-011122 XNIZ-021122.xls
FH-1612 report.xls
2022-11-02_1739.xls
Fattura 2022 - IT 00225.xls
RHU-011122 OOON-021122.xls
Electronic form.xls
Rechnungs-Details.xls
Gmail_2022-02-11_1621.xls
gescanntes-Dokument 2022.02.11_1028.xls
Rechnungs-Details.xls
DETALLES-0211.xls
Dokumente-vom-Notar 02.11.2022.xls
INVOICE0000004678.xls
SCAN594_00088.xls
Copia Fattura.xls
Form.xls
Form - 02 Nov, 2022.xls
Nuovo documento 2022.11.02.xls
Invoice Copies 2022-11-02_1008, USA.xls
payments 2022-11-02_1011, USA.xls
今天的 Emotet 活动还引入了一个新的 Excel 附件模板,其中包含绕过 Microsoft 受保护视图的说明。

来源:BleepingComputer
当从 Internet 下载文件(包括作为电子邮件附件)时,Microsoft 将在该文件中添加一个特殊的 Mark-of-the-Web (MoTW) 标志。
当用户打开包含 MoTW 标志的 Microsoft Office 文档时,Microsoft Office 将在受保护的视图中打开它,从而防止执行安装恶意软件的宏。
但是,在新的 Emotet Excel 附件中,您可以看到威胁参与者正在指示用户将文件复制到受信任的“模板”文件夹中,因为这样做会绕过 Microsoft Office 的受保护视图,即使对于包含 MoTW 标志的文件也是如此。
"RELAUNCH REQUIRED In accordance with the requirements of your security policy, to display the contents of the document, you need to copy the file to the following folder and run it again:
for Microsoft Office 2013 x32 and earlier - C:\Program Files\Microsoft Office (x86)\Templates
for Microsoft Office 2013 x64 and earlier - C:\Program Files\Microsoft Office\Templates
for Microsoft Office 2016 x32 and later - C:\Program Files (x86)\Microsoft Office\root\Templates
for Microsoft Office 2016 x64 and later - C:\Program Files\Microsoft Office\root\Templates"
虽然 Windows 会警告用户将文件复制到“模板”文件夹需要“管理员”权限,但用户尝试复制文件的事实表明他们很有可能也会按下“继续”按钮。

当附件从“模板”文件夹启动时,它会简单地打开并立即执行下载 Emotet 恶意软件的宏。

Emotet 恶意软件作为 DLL 下载到 %UserProfile%\AppData\Local 下的多个随机命名文件夹中,如下所示。

然后,宏将使用合法的 regsvr32.exe 命令启动 DLL。

下载后,恶意软件将在后台安静地运行,同时连接到命令和控制服务器以获取进一步的指令或安装额外的有效负载。
Madjar 告诉今天的 Emotet 感染尚未开始在受感染的设备上投放额外的恶意软件有效负载。
然而,在过去,Emotet 以 安装 TrickBot 恶意软件 和最近的 Cobalt Strike 信标而闻名。
这些 Cobalt Strike 信标随后被勒索软件团伙用于初始访问,这些团伙在网络上横向传播、窃取数据并最终加密设备。
Emotet 感染过去曾被用于 让 Ryuk 和 Conti 勒索软件团伙 首次访问公司网络。
自 Conti 在 6 月关闭以来,人们看到 Emotet 与 BlackCat 和 Quantum 勒索软件合作,以 对已感染的设备进行初始访问。
转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » Emotet僵尸网络在中断5个月后再次开始攻击恶意软件