Emotet 殭屍網絡重獲新生

最大的殭屍網絡之一在 2021 年初發生的國際執法行動中被破壞並關閉。現在，一年多後，同一個殭屍網絡再次顯示出生命跡象，而且似乎已經增長了一些在它休眠的時候長出新的角和刺。有問題的殭屍網絡是臭名昭著的Emotet殭屍網絡——一個用於不同惡意目的的受感染設備網絡。

什麼是 Emotet？

控制受感染設備或“機器人”的一方可以將殭屍網絡用於許多惡意任務。在 Emotet 的案例中，網絡被用來傳播惡意軟件，機器人被出租給其他惡意方，類似於勒索軟件即服務模型，只出售對受損設備基礎設施的訪問權限。

現在，安全公司 Proofpoint 的一個研究小組已經確定了“低容量 Emotet 活動”，並將其描述為與Emotet 殭屍網絡的常規操作方式“大不相同”。

Emotet 現在正在使用電子郵件活動進行分發。據研究人員稱，惡意郵件源自的電子郵件地址似乎已被洩露，因為 Emotet 垃圾郵件模塊並未用於將其推送給收件人。

新的惡意電子郵件活動傳播 Emotet

這些電子郵件的結構很簡單——一個單詞的主題字符串，例如“Salary”。這是一個簡單但有效的技巧，可以引起受害者的注意並讓用戶點擊電子郵件中包含的任何內容。在這種情況下，電子郵件僅包含一個指向 OneDrive 的鏈接。

OneDrive 鏈接指向放置在 zip 存檔中的 MS Excel XLL 文件。其中包含的存檔文件和 Excel 文檔的名稱都與郵件的主題相似。在 Proofpoint 提供的示例中，存檔名為“Salary_new.zip”，其中的 Excel 文件為“Salary_and_bonuses-04.01.2022.xll”。

一旦用戶提取 Excel 文件並嘗試打開它，Emotet 就會被刪除並部署。

鑑於該活動的低容量性質，與 Emotet 之前使用的通常的高容量攻擊性垃圾郵件方法相比，研究人員認為惡意軟件運營商正在測試新方法和技術，並正在測試避免自動檢測的新方法。