结束“假期”,Emotet木马携带新恶意负载

结束“假期”,Emotet木马携带新恶意负载

Emotet是一种木马病毒,因其模块化架构以及蠕虫式自主传播而臭名昭著。Emotet木马在去年下半年期间一度十分活跃:

使用新模块(6cd44f2d00b43d80c08922d99d51cce804a59a54)窃取电子邮件信息;

使用恶意Word和PDF附件,伪装成发票、账单等,发起大规模垃圾邮件活动;

伪装成金融机构、或以感恩节为主题的员工问候的电子邮件中分发恶意负载;

利用虚假的亚马逊订单确认邮件来传播Emotet木马。

但在短时间的蛰伏期后,Emotet木马的运营商最近又重新通过恶意电子邮件活动分发他们的恶意负载的新变种。此次攻击活动的目标是使用不同语言的用户,诱使他们打开附有代码的附加文档,并安装恶意软件。

一些恶意的垃圾邮件中包含直接粘贴到电子邮件正文中的恶意软件的链接,如下所示:

结束“假期”,Emotet木马携带新恶意负载

带有恶意软件链接的垃圾邮件

Emotet木马发展势头迅猛

该木马正在不断开发更新中,此次出现的恶意负载新变种可以检查收件人/受害者的IP地址是否被列入黑名单,或Spamhaus,SpamCop或SORBS等服务维护的垃圾邮件列表中。

结束“假期”,Emotet木马携带新恶意负载

“这可能允许攻击者向用户的收件箱发送更多的电子邮件,而不会受到垃圾邮件过滤器的任何阻碍,”思科Talos的研究人员在一篇博文中表示。

此外,为了提高避免垃圾邮件过滤器的成功率,Emotet还可以更改主题行内容。在过去已知的恶意活动中,攻击者曾使用过这种策略。

可疑的重定向活动

另一个变化是使用HTTP 301进行重定向。然而,对于安全研究人员而言,这一活动仍然是个谜,他们发现重定向指向同一个URL。

研究人员说,两个下载请求之间的唯一区别是第一个请求在标题中有一个保持活跃的消息,而第二个请求则没有。

结束“假期”,Emotet木马携带新恶意负载

研究人员表示,恶意软件“大概率被托管在受感染的网站上”,这些网站被用作恶意电子邮件活动的随机托管位置。

经典的分发方法

受害者通过隐藏在Word文件中的恶意宏接收恶意软件,这些文件伪装成与财务相关的文件。

结束“假期”,Emotet木马携带新恶意负载

一旦受害者点击虚假文件,Emotet就将出现在设备系统中;嵌入式宏中的代码会在系统上下载并安装恶意软件。这一过程是通过首先调用PowerShell完成的,PowerShell与Emotet的分发中心连接以检索有效负载。下载Emotet后,恶意软件就将序部署在受害者的计算机上。

功能升级,不仅仅是银行木马

尽管Emotet最初被定义为臭名昭著的银行木马,但其当前的功能列表显示它已经演变为一个模块化的恶意软件,因此能够提供各种其他恶意有效负载:银行木马、信息窃取器、收集电子邮件、以及勒索软件。

安全研究人员最后表示,该木马不断扩充的功能将使其成为犯罪软件领域中颇具威胁的“佼佼者”。

原创文章,作者:Gump,如若转载,请注明出处:http://www.mottoin.com/news/134198.html

发表评论

登录后才能评论

联系我们

021-62666911

在线咨询:点击这里给我发消息

邮件:root@mottoin.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code