1. 威客安全首页
  2. 安全资讯

Emotet 木马卷土重来,不断演变

随着 Emotet 僵尸网络被重新唤醒,其传播方式,有效负载,恶意文档模板和电子邮件模板也在不断发展。

休止活动长达几个月之后,Emotet 在本周一卷土重来。它开始制造垃圾邮件,通过邮件将恶意附件推送给毫无戒心的用户。Emotet 原本是一种窃取银行登录凭据的木马,但它现在被用来分发其他恶意软件。

仅仅几天之后,Emotet 就被分成不同的版本,并采用了新的文档模板,旨在进一步诱骗用户使用恶意 Word 宏。

 

新的 Emotet 文档模板

Emotet 使用了恶意 Word 文档模板,要求用户通过单击“启用内容”按钮“接受许可协议”。这样做,将启用嵌入在文档中的宏,然后将 Emotet 木马安装在收件人的计算机上。Emotet 木马卷土重来,不断演变

正如微软和 JamesWTJoseph RoosenBrad Duncanps66uk 所说,Emotet 已将其恶意文档模板更改为“受保护视图”诱饵。此诱饵告受害人“由于文件在受保护的视图中打开而无法完成操作。某些活动内容已被禁用。单击启用编辑并启用内容”。

Emotet 木马卷土重来,不断演变

与上一个模板一样,如果单击“ 启用编辑”,然后单击“ 启用内容”,嵌入的宏就会运行脚本,然后将Emotet安装到计算机上。

 

垃圾邮件中包含了恶意下载链接或附件

我们看到的大多数 Emotet 垃圾邮件都包含附件,但有些还包含了用于下载恶意文档的链接。

例如,下面的 Emotet 垃圾邮件就包含了一份恶意 Word 文档附件。

Emotet 木马卷土重来,不断演变

下图的垃圾邮件包含了一个链接,用于下载恶意文档。

Emotet 木马卷土重来,不断演变

这意味着如果要保障用户安全,单独过滤附件是不够的。

 

利用 WScript 和 PowerShell 安装 payloads

虽然大多数针对 Emotet 的报道都将关注点放在了产生 PowerShell 的恶意附件上,但一些垃圾邮件也会通过 WScript 执行 JScript 脚本来安装恶意负载。

例如,下面是一个 PowerShell 命令的示例,该命令由 Emotet 附件执行。

Emotet 木马卷土重来,不断演变

不幸的是,没有办法禁用 PowerShell 执行的编码命令。但是可以通过以下命令禁用 PowerShell 脚本:

Set-ExecutionPolicy -ExecutionPolicy Restricted

凭借其拥有的多种有效载荷,潜在用户以及广泛的传播,Emotet 对于网络安全是一个很大的威胁,需要所有管理员,安全专业人员和用户的密切关注。

 

 

消息来源:BleepingComputer, 译者:xyj,校审:吴烦恼
本文由 HackerNews.cc 翻译整理,封面来源于网络。
转载请注明“转自 HackerNews.cc ” 并附上原文链接

本文转为转载文章,本文观点不代表威客安全立场。

联系我们

15110186328

在线咨询:点击这里给我发消息

邮件:zhanglei@jinlongsec.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code
X