Emotet 僵尸网络重获新生
最大的僵尸网络之一在 2021 年初发生的国际执法行动中被破坏并关闭。现在,一年多后,同一个僵尸网络再次显示出生命迹象,而且似乎已经增长了一些在它休眠的时候长出新的角和刺。有问题的僵尸网络是臭名昭著的Emotet僵尸网络——一个用于不同恶意目的的受感染设备网络。
什么是 Emotet?
控制受感染设备或“机器人”的一方可以将僵尸网络用于许多恶意任务。在 Emotet 的案例中,网络被用来传播恶意软件,机器人被出租给其他恶意方,类似于勒索软件即服务模型,只出售对受损设备基础设施的访问权限。
现在,安全公司 Proofpoint 的一个研究小组已经确定了“低容量的 Emotet 活动”,并将其描述为与Emotet 僵尸网络的常规操作方式“大不相同”。
Emotet 现在正在使用电子邮件活动进行分发。据研究人员称,恶意邮件源自的电子邮件地址似乎已被泄露,因为 Emotet 垃圾邮件模块并未用于将其推送给收件人。
新的恶意电子邮件活动传播 Emotet
这些电子邮件的结构很简单——一个单词的主题字符串,例如“Salary”。这是一个简单但有效的技巧,可以引起受害者的注意并让用户点击电子邮件中包含的任何内容。在这种情况下,电子邮件仅包含一个指向 OneDrive 的链接。
OneDrive 链接指向放置在 zip 存档中的 MS Excel XLL 文件。其中包含的存档文件和 Excel 文档的名称都与邮件的主题相似。在 Proofpoint 提供的示例中,存档名为“Salary_new.zip”,其中的 Excel 文件为“Salary_and_bonuses-04.01.2022.xll”。
一旦用户提取 Excel 文件并尝试打开它,Emotet 就会被删除并部署。
鉴于该活动的低容量性质,与 Emotet 之前使用的通常的高容量攻击性垃圾邮件方法相比,研究人员认为恶意软件运营商正在测试新方法和技术,并正在测试避免自动检测的新方法。