Emotet 僵尸网络重获新生

最大的僵尸网络之一在 2021 年初发生的国际执法行动中被破坏并关闭。现在，一年多后，同一个僵尸网络再次显示出生命迹象，而且似乎已经增长了一些在它休眠的时候长出新的角和刺。有问题的僵尸网络是臭名昭著的Emotet僵尸网络——一个用于不同恶意目的的受感染设备网络。

什么是 Emotet？

控制受感染设备或“机器人”的一方可以将僵尸网络用于许多恶意任务。在 Emotet 的案例中，网络被用来传播恶意软件，机器人被出租给其他恶意方，类似于勒索软件即服务模型，只出售对受损设备基础设施的访问权限。

现在，安全公司 Proofpoint 的一个研究小组已经确定了“低容量的 Emotet 活动”，并将其描述为与Emotet 僵尸网络的常规操作方式“大不相同”。

Emotet 现在正在使用电子邮件活动进行分发。据研究人员称，恶意邮件源自的电子邮件地址似乎已被泄露，因为 Emotet 垃圾邮件模块并未用于将其推送给收件人。

新的恶意电子邮件活动传播 Emotet

这些电子邮件的结构很简单——一个单词的主题字符串，例如“Salary”。这是一个简单但有效的技巧，可以引起受害者的注意并让用户点击电子邮件中包含的任何内容。在这种情况下，电子邮件仅包含一个指向 OneDrive 的链接。

OneDrive 链接指向放置在 zip 存档中的 MS Excel XLL 文件。其中包含的存档文件和 Excel 文档的名称都与邮件的主题相似。在 Proofpoint 提供的示例中，存档名为“Salary_new.zip”，其中的 Excel 文件为“Salary_and_bonuses-04.01.2022.xll”。

一旦用户提取 Excel 文件并尝试打开它，Emotet 就会被删除并部署。

鉴于该活动的低容量性质，与 Emotet 之前使用的通常的高容量攻击性垃圾邮件方法相比，研究人员认为恶意软件运营商正在测试新方法和技术，并正在测试避免自动检测的新方法。