感恩节“诱惑”,Emotet携新插件回归

感恩节“诱惑”,Emotet携新插件回归

在短暂蛰伏之后,Emotet恶意软件在感恩节重新回归大众的视野。它藏身于伪装成金融机构或以感恩节为主题的员工问候的电子邮件中。

10月初,Emotet恶意活动从监测雷达上消失了。自2017年11月以来,研究人员一直在跟踪Emotet,这种情况时不时发生。到了10月底,它又重新推出了一个新的插件,可以展示电子邮件主题和16KB大小的正文。这一新功能可被攻击者用于创建更精致的网络钓鱼模板,在最新的恶意活动中已经有所体现了。

感恩节“诱惑”,Emotet携新插件回归

Emotet恶意活动全球分布图

电子邮件窃取模块

网络钓鱼防御解决方案提供商Cofense公司,前身为PhishMe,于11月13日发现了与Emotet相关的新活动。该恶意软件是通过精心设计的网络钓鱼邮件来实现的,这些邮件伪装成来自“一个知名且值得信赖的组织”。

在邮件信息中最突出的是使用Proofpoint的URL Defense的合法链接,这是一种扫描服务,可以在用户点击时将URL重定向到Proofpoint服务器以进行验证;这些链接具有特定的结构,当用户将鼠标悬停在它们上面并添加到欺骗项中时可见,这些链接可能是被电子邮件窃取模块从受害者那儿窃取的。

感恩节“诱惑”,Emotet携新插件回归

伪装成美国一家大型金融机构的电子邮件模板

感恩节“诱惑”,Emotet携新插件回归

Proofpoint的URL包装服务出现在此恶意活动中

Emotet不是最终的有效载荷

根据Cofense的说法,这些电子邮件附带了一个嵌入恶意宏代码的Word文档。执行后,代码会下载并在系统上运行Emotet。但是,Emotet恶意软件并非最终的有效负载,而是充当其他各种恶意软件的下载程序。此前的案例中,去年出现的银行木马IcedID就是通过这种方式进行分发的,该木马专注于投资机构、金融机构以及几家银行控股公司。

就Emotet本身而言,这家安全公司表示,它一直在呈现增长趋势,“每周至少有20,000份凭证被添加到僵尸网络中。”Cofense注意到社会工程技巧在最近的恶意活动中有了大幅改进,并把这归因于新增的电子邮件抓取模块。

感恩节“诱惑”,Emotet携新插件回归

恶意活动中检测到的有效负载网址

Emotet的感恩节“诱惑”

Emotet的身影最近又出现在了11月19日的另一项恶意活动中,不到10个小时的时间里就发送了超过27,000封电子邮件。虽然这些钓鱼邮件操作遵循通常的模式,但与以往金融“诱惑”不同的是,此次活动以“感恩节”为邮件主题。邮件主题包括感恩节贺卡、问候、祝贺和留言,其中还显示了一些受害者的姓名。

感恩节“诱惑”,Emotet携新插件回归

电子邮件内容示例

网络安全公司Forcepoint一直跟踪观察此恶意活动,并在今天的微博文章中称,分发Emotet的不是恶意Word文件,而是伪装成DOC文档的XML。这种手段利用负责检索有效负载的命令能够更好地混淆宏代码。

感恩节“诱惑”,Emotet携新插件回归

混淆的DOS命令

通过反混淆技术(Deobfuscation)显示,攻击者使用了Emotet常见的标准PowerShell下载程序。

感恩节“诱惑”,Emotet携新插件回归

Powershell下载器

结论

在Emotet回归后的几个星期里,它经历了一些有趣的变化,尤其是在新的感恩节主题和之前讨论的宏命令混淆中。尽管不是完全新颖的(2003年Trustwave报告了使用XML文件来隐藏宏),但由于发送的恶意电子邮件量很大,它确实对防御者构成了挑战,因此需要快速创建检测签名以遏制这一浪潮。

原创文章,作者:Gump,如若转载,请注明出处:http://www.mottoin.com/news/132704.html

发表评论

登录后才能评论

联系我们

021-62666911

在线咨询:点击这里给我发消息

邮件:root@mottoin.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code