reverse-emotet

Emotet 木马卷土重来,不断演变

  • 浏览次数 50573
  • 喜欢 1
  • 评分 12345

随着 Emotet 僵尸网络被重新唤醒,其传播方式,有效负载,恶意文档模板和电子邮件模板也在不断发展。

休止活动长达几个月之后,Emotet 在本周一卷土重来。它开始制造垃圾邮件,通过邮件将恶意附件推送给毫无戒心的用户。Emotet 原本是一种窃取银行登录凭据的木马,但它现在被用来分发其他恶意软件。

仅仅几天之后,Emotet 就被分成不同的版本,并采用了新的文档模板,旨在进一步诱骗用户使用恶意 Word 宏。

 

新的 Emotet 文档模板

Emotet 使用了恶意 Word 文档模板,要求用户通过单击“启用内容”按钮“接受许可协议”。这样做,将启用嵌入在文档中的宏,然后将 Emotet 木马安装在收件人的计算机上。Emotet-email-WordDOC

正如微软和 JamesWTJoseph RoosenBrad Duncanps66uk 所说,Emotet 已将其恶意文档模板更改为“受保护视图”诱饵。此诱饵告受害人“由于文件在受保护的视图中打开而无法完成操作。某些活动内容已被禁用。单击启用编辑并启用内容”。

protected-view-doc

与上一个模板一样,如果单击“ 启用编辑”,然后单击“ 启用内容”,嵌入的宏就会运行脚本,然后将Emotet安装到计算机上。

 

垃圾邮件中包含了恶意下载链接或附件

我们看到的大多数 Emotet 垃圾邮件都包含附件,但有些还包含了用于下载恶意文档的链接。

例如,下面的 Emotet 垃圾邮件就包含了一份恶意 Word 文档附件。

Emotet-email-sampleEN

下图的垃圾邮件包含了一个链接,用于下载恶意文档。

email-with-link

这意味着如果要保障用户安全,单独过滤附件是不够的。

 

利用 WScript 和 PowerShell 安装 payloads

虽然大多数针对 Emotet 的报道都将关注点放在了产生 PowerShell 的恶意附件上,但一些垃圾邮件也会通过 WScript 执行 JScript 脚本来安装恶意负载。

例如,下面是一个 PowerShell 命令的示例,该命令由 Emotet 附件执行。

Emotet-PowerShellCmd

不幸的是,没有办法禁用 PowerShell 执行的编码命令。但是可以通过以下命令禁用 PowerShell 脚本:

Set-ExecutionPolicy -ExecutionPolicy Restricted

凭借其拥有的多种有效载荷,潜在用户以及广泛的传播,Emotet 对于网络安全是一个很大的威胁,需要所有管理员,安全专业人员和用户的密切关注。

 

 

消息来源:BleepingComputer, 译者:r4938n,校审:吴烦恼
本文由 HackerNews.cc 翻译整理,封面来源于网络。
转载请注明“转自 HackerNews.cc ” 并附上原文链接