每天发送数十万封恶意邮件,臭名昭著的恶意软件Emotet再度活跃

安全
据悉,Emotet上一次活跃的时间是在2022年7月,此次新的活动迹象表明,Emotet正在恢复其作为主要恶意软件系列的全部功能。

销声匿迹大约4个月后,老牌恶意软件 Emotet 卷土重来。安全公司 Proofpoint 表示,自 2022 年 11 月初以来,Emotet再度回归电子邮件攻击领域,每天发送数十万封钓鱼邮件,成为所观察到的数量最多的攻击者之一。

据悉,Emotet上一次活跃的时间是在2022年7月,此次新的活动迹象表明,Emotet正在恢复其作为主要恶意软件系列的全部功能。这一次,它们的主要目标区域包括美国、英国、日本、德国、意大利、法国、西班牙、墨西哥和巴西。

在这次新一轮的攻击活动中,Emotet发送的钓鱼邮件通常包含了 Excel 附件或受密码保护的 zip 附件,其中亦包含 Excel 文件。Excel 文件包含 XL4 宏,可从多个内置 URL 下载 Emotet 负载。但由于最近微软宣布开始默认禁用从互联网下载的Office文档中的宏,许多恶意软件已经开始从Office宏迁移到其他传递机制,如ISO和LNK文件。

虽然 Emotet 采用了旧方法,但仍通过另一种方式,即诱使受害者将文件复制到 Microsoft Office一个受信任的位置,在此处打卡文件将立即执行宏,且不会发出任何警告。但在将文件移动到受信任的位置时,操作系统会要求用户拥有管理员权限才能进行此类移动。

虽然总体活动与7月份的类似,但此次Emotet依然进行了不少更新,包括加载程序组件的更改、新命令的添加、更新打包程序以抵抗逆向工程。值得注意的是,Emotet的有效载荷——IcedID加载程序采用了全新的变体,不仅能接收命令以读取文件内容,将文件内容发送到远程服务器,还能执行其他后门指令以提取 Web 浏览器数据。研究人员对全新的IcedID感到担忧,因为它可能是为勒索攻击做铺垫。

Emotet曾是自2014年至今全球规模最大的恶意软件系列之一。2021年1月,Emotet僵尸网络被执法部门取缔,并于4月25日下发“自毁模块”后被彻底捣毁,C2服务器一度接近瘫痪。2021年11月,Emotet死灰复燃,开始间断性地进行活动。

责任编辑:赵宁宁 来源: FreeBuf.COM
相关推荐

2021-12-29 12:49:02

恶意软件joker攻击

2014-11-09 10:28:04

2021-01-29 11:15:03

Emotet僵尸网络电子邮件

2020-12-16 14:34:51

恶意软件网络安全网络攻击

2021-01-12 18:11:06

AI

2015-12-08 11:20:48

2021-01-12 12:05:47

恶意软件黑客网络攻击

2019-12-12 11:58:29

网络安全数据泄露黑客

2015-08-27 13:49:42

2024-03-19 08:00:00

测试漏洞

2019-11-14 07:20:19

恶意软件网络安全勒索软件

2020-07-30 12:33:36

恶意软件Emotet网络攻击

2024-05-16 12:27:29

2011-09-19 13:09:19

2021-08-22 14:40:41

黑客网络安全网络攻击

2023-05-22 14:21:56

2024-01-26 09:00:00

2021-11-17 22:23:25

Emotet僵尸网络网络攻击

2020-01-18 08:59:23

恶意软件网络钓鱼攻击

2014-08-05 16:38:08

点赞
收藏

51CTO技术栈公众号