Emotet 攻擊使用虛假 Windows Update 誘餌散發垃圾郵件 - 網安 - 專業的網絡安全產業、社區、知識平臺

在當今的網絡安全領域，Emotet僵尸網絡是malspam的最大來源之一。malspam是指發送帶有惡意軟件附件的電子郵件。

這些垃圾郵件運動對于 Emotet運營商至關重要。

它們是支撐僵尸網絡的基礎，為Emotet機器提供新的受害者。Emotet機器是一種出租給其他犯罪集團的惡意軟件服務(MaaS)網絡犯罪活動。

為了防止安全公司追趕并將其電子郵件標記為“惡意”或“垃圾郵件”，Emotet小組會定期更改這些電子郵件的發送方式和文件附件的外觀。

Emotet操作員更改電子郵件主題行，電子郵件正文中的文本，文件附件類型以及文件附件的內容，這與電子郵件的其余部分一樣重要。

這是因為收到Emotet垃圾郵件的用戶除了閱讀電子郵件和打開文件外，還需要允許文件執行稱為“宏”的自動腳本。只有在用戶按下Office文件中顯示的“啟用編輯”按鈕后，Office宏才會執行。

圖片：微軟

誘騙用戶啟用編輯對惡意軟件操作員而言，與其電子郵件模板，惡意軟件或僵尸網絡的后端基礎結構的設計一樣重要。

多年來，Emotet開發了一系列誘騙的Office文檔，這些文檔使用了各種各樣的”lures”來說服用戶單擊“啟用編輯”按鈕。

這包括：

但是這周，Emotet帶著一個新文件的誘惑從一個最近的假期來到。

在最近的Emotet活動中發送的文件附件顯示一條消息，聲稱來自Windows Update服務，告訴用戶Office應用程序需要更新。自然，必須通過單擊“啟用編輯”按鈕（不要按下它）來完成此操作。

圖片：@ catnap707 / Twitter

根據Cryptolaemus小組的最新消息，從昨天開始，這些Emotet誘餌已向全球各地的用戶大量散發垃圾郵件。

根據此報告，Emotet在某些受感染的主機上安裝了TrickBot木馬，即TrickBot僵尸網絡幸免于Microsoft及其合作伙伴最近的入侵嘗試。

這些被欺騙的文檔是從帶有欺騙性身份的電子郵件中發送的，這些電子郵件似乎來自熟人和業務合作伙伴。

此外，Emotet經常使用一種稱為會話劫持的技術，通過這種技術，它可以從受感染的主機竊取電子郵件線程，并通過欺騙參與者的回復將自身插入到該線程中，并添加被誘騙的Office文檔作為附件。

這種技術很難掌握，尤其是在每天處理企業電子郵件的用戶中，這就是Emotet經常設法定期感染公司或政府網絡的原因。

在這種情況下，培訓和意識是預防Emotet攻擊的最佳方法。定期處理電子郵件的用戶應意識到在文檔中啟用宏的危險，該功能很少用于合法目的。

知道典型的Emotet誘餌文檔的樣子也是一個不錯的開始，因為當這些電子郵件之一進入收件箱時，即使來自已知的通訊錄，用戶也可以躲避最常見的Emotet技巧。

根據安全研究人員[@ ps66uk與ZDNet共享的列表，以下是最受歡迎的Emotet文檔誘餌的列表。

圖片：Cryptolaemus

圖片：Sophos

圖片：@ pollo290987 / Twitter

圖片：@ ps66uk / Twitter

圖片：Cryptolaemus

圖片：@ JAMESWT_MHT / Twitter

圖片：@ ps66uk / Twitter

圖片：@ Myrtus0x0 / Twitter

圖片：Cryptolaemus

圖片：@ catnap707 / Twitter

圖片：@ ps66uk / Twitter