随着 Emotet 僵尸网络被重新唤醒,其传播方式,有效负载,恶意文档模板和电子邮件模板也在不断发展。
休止活动长达几个月之后,Emotet在本周一卷土重来。它开始制造垃圾邮件,通过邮件将恶意附件推送给毫无戒心的用户。Emotet 原本是一种窃取银行登录凭据的木马,但它现在被用来分发其他恶意软件。
仅仅几天之后,Emotet 就被分成不同的版本,并采用了新的文档模板,旨在进一步诱骗用户使用恶意 Word 宏。
新的 Emotet 文档模板
Emotet 使用了恶意 Word 文档模板,要求用户通过单击“启用内容”按钮“接受许可协议”。这样做,将启用嵌入在文档中的宏,然后将 Emotet 木马安装在收件人的计算机上。
正如微软和JamesWT,Joseph Roosen,Brad Duncan,ps66uk所说,Emotet 已将其恶意文档模板更改为“受保护视图”诱饵。此诱饵告受害人“由于文件在受保护的视图中打开而无法完成操作。某些活动内容已被禁用。单击启用编辑并启用内容”。
与上一个模板一样,如果单击“ 启用编辑”,然后单击“ 启用内容”,嵌入的宏就会运行脚本,然后将Emotet安装到计算机上。
垃圾邮件中包含了恶意下载链接或附件
我们看到的大多数 Emotet 垃圾邮件都包含附件,但有些还包含了用于下载恶意文档的链接。
例如,下面的 Emotet 垃圾邮件就包含了一份恶意 Word 文档附件。
下图的垃圾邮件包含了一个链接,用于下载恶意文档。
这意味着如果要保障用户安全,单独过滤附件是不够的。
利用 WScript 和 PowerShell 安装 payloads
虽然大多数针对 Emotet 的报道都将关注点放在了产生 PowerShell 的恶意附件上,但一些垃圾邮件也会通过 WScript 执行 JScript 脚本来安装恶意负载。
例如,下面是一个 PowerShell 命令的示例,该命令由 Emotet 附件执行。
不幸的是,没有办法禁用 PowerShell 执行的编码命令。但是可以通过以下命令禁用 PowerShell 脚本:
Set-ExecutionPolicy -ExecutionPolicy Restricted
凭借其拥有的多种有效载荷,潜在用户以及广泛的传播,Emotet 对于网络安全是一个很大的威胁,需要所有管理员,安全专业人员和用户的密切关注。(由 HackerNews.cc 翻译整理)