- 网络安全专家宣布,Emotet 在中断 5 个月后再次向全球发送垃圾邮件以寻找新的受害者。
- 专家警告用户注意附加的 XLS 文件以及压缩和受密码保护的 XLS,这是 Emotet 最常用的方法。
- Excell 文件指示用户将文件复制到 Templates 文件夹中,以便能够在下载恶意软件之前绕过 Microsoft Office 的受保护视图。
研究人员表示,Emotet 恶意软件操作在静默 5 个月后再次发送垃圾邮件恶意电子邮件。它是传播最广泛的恶意软件之一,然后在 6 月 13 日突然停止运行。Emotet通过使用 Excel 或 Word 文档的网络钓鱼活动传播恶意软件感染。
5个月后活跃
当用户打开 Excell 或 Word 文档并启用宏时,它会下载 Emotet DLL 并将其加载到内存中。Emotet 不仅搜索和窃取电子邮件以进一步扩大其垃圾邮件活动,而且还丢弃 Cobalt Strike 或其他恶意软件等有效负载,这可能导致勒索软件攻击。
研究小组Cryptolaemus表示,11 月 2 日,Emotet 操作再次活跃起来,并开始在全球范围内发送垃圾邮件。根据上传到VirusTotal的用户报告,恶意文件正以各种语言和文件名发送给全球用户。这些文件中的大多数都伪装成发票、扫描件、电子表格或其他文件。
当从 Internet 下载文件时,Microsoft 会在文件中添加一个 Mark-of-the-Web 标志。当用户打开它时,它将在受保护的视图中打开,这可以防止宏安装恶意软件和执行恶意软件。但最新版本的 Emotet Excel 文件指示用户将文件复制到受信任的模板文件夹中,从而使恶意软件能够绕过受保护的视图。但是,Windows 仍然会警告用户并要求管理员允许这样做。如果用户从 Templates 文件夹打开附件,它会执行将下载恶意软件的宏。
转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » 网络安全专家表示,Emotet僵尸网络在中断5个月后开始通过电子邮件传播恶意软件。