Emotet攻擊正在持續大規模擴散

近期，全球各地又在擴散著Emotet方式的病毒垃圾郵件，其主要特征是帶有一個.xlsm或經zip加密的.xlsm的惡意文件。當收件者不慎執行惡意xlsm宏，病毒就會被激活，并在終端后臺盜取各類信息。

通過對實際案例的分析，研究人員發現攻擊者依然利用早期獲取的內部用戶資訊，并通過全球各地弱賬戶平臺，偽裝為相關業務往來回復類郵件，誘導用戶點擊運行附件。

這種攻擊會從.xlsm內紀錄的URL列表嘗試下載擴展名為.ocx文件（實為DLL的文件），并復制到用戶目錄（「AppData\Local\隨機目錄名稱」）下，隨機取名 xxxxxxx.yyy (x長度不定)，通過執行 C:\Windows\system32\regsvr32.exe /s "C:\Users\用戶名稱\AppData\Local\隨機目錄名稱下的惡意文件，并通過 registry 設定開機執行。

為了成功入侵，黑客攻擊手法不斷演化，發展出各種能夠躲避偵測的攻擊。值得留意的是第二波惡意文件攻擊，直接以加密的手段躲避防毒機制的檢查，而加密壓縮文件內的.xlsm又以混淆手段，增加防毒系統的攔截難度。基礎或只有防病毒功能的郵件防御，已無法對抗黑客日益精進的進階攻擊。

守內安建議企業用戶盡快使用新一代防御技術，包括：擁有多層過濾機制對抗入侵，同時具有ADM (Advanced Defense Module) 高級防御機制；能自動解壓文件并進行掃描；可發掘潛在危險代碼、隱藏的邏輯路徑及反編譯代碼，進一步對惡意軟件進行比對；可深度防御魚叉式攻擊、匯款詐騙、APT攻擊郵件、勒索病毒以及新型態攻擊等郵件。