随着 Emotet 僵尸网络被重新唤醒，其传播方式，有效负载，恶意文档模板和电子邮件模板也在不断发展。

休止活动长达几个月之后，Emotet在本周一卷土重来。它开始制造垃圾邮件，通过邮件将恶意附件推送给毫无戒心的用户。Emotet 原本是一种窃取银行登录凭据的木马，但它现在被用来分发其他恶意软件。

仅仅几天之后，Emotet 就被分成不同的版本，并采用了新的文档模板，旨在进一步诱骗用户使用恶意 Word 宏。

新的 Emotet 文档模板

Emotet 使用了恶意 Word 文档模板，要求用户通过单击“启用内容”按钮“接受许可协议”。这样做，将启用嵌入在文档中的宏，然后将 Emotet 木马安装在收件人的计算机上。

正如微软和JamesWT，Joseph Roosen，Brad Duncan，ps66uk所说，Emotet 已将其恶意文档模板更改为“受保护视图”诱饵。此诱饵告受害人“由于文件在受保护的视图中打开而无法完成操作。某些活动内容已被禁用。单击启用编辑并启用内容”。

与上一个模板一样，如果单击“ 启用编辑”，然后单击“ 启用内容”，嵌入的宏就会运行脚本，然后将Emotet安装到计算机上。

垃圾邮件中包含了恶意下载链接或附件

我们看到的大多数 Emotet 垃圾邮件都包含附件，但有些还包含了用于下载恶意文档的链接。

例如，下面的 Emotet 垃圾邮件就包含了一份恶意 Word 文档附件。

下图的垃圾邮件包含了一个链接，用于下载恶意文档。

这意味着如果要保障用户安全，单独过滤附件是不够的。

利用 WScript 和 PowerShell 安装 payloads

虽然大多数针对 Emotet 的报道都将关注点放在了产生 PowerShell 的恶意附件上，但一些垃圾邮件也会通过 WScript 执行 JScript 脚本来安装恶意负载。

例如，下面是一个 PowerShell 命令的示例，该命令由 Emotet 附件执行。

不幸的是，没有办法禁用 PowerShell 执行的编码命令。但是可以通过以下命令禁用 PowerShell 脚本：

Set-ExecutionPolicy -ExecutionPolicy Restricted

凭借其拥有的多种有效载荷，潜在用户以及广泛的传播，Emotet 对于网络安全是一个很大的威胁，需要所有管理员，安全专业人员和用户的密切关注。（由 HackerNews.cc 翻译整理）