Emotet木馬病毒死灰復燃 瞄準企業用戶發起攻擊
近期,火絨監測到Emotet木馬病毒再次大規模爆發,主要通過魚叉郵件方式進行傳播。當用戶點擊運行郵件附件后,病毒就會被激活,并在終端后臺盜取各類隱私信息,由于魚叉郵件主要針對特定用戶、組織或企業,嚴重威脅企業信息安全,火絨在此緊急提示廣大企業用戶注意防范。火絨用戶無需擔心,火絨已對Emotet木馬病毒進行查殺。
查殺圖
根據“火絨威脅情報中心”監測和評估,本次Emotet木馬病毒來勢洶洶,在11月份快速增長,并于中下旬集中爆發。
Emotet近期增長趨勢
Emotet曾是自2014年至今全球規模最大的僵尸網絡之一,該僵尸網絡在2021年1月被歐洲刑警組織查獲,并于4月25日下發“自毀模塊”后被徹底搗毀。主要通過魚叉郵件進行傳播的Emotet木馬病毒,在過去的7年時間里,給社會帶來了極大損失和影響。
火絨曾在《全球最大僵尸網絡自毀 火絨起底Emotet與安全軟件對抗全過程》一文中,詳細分析了Emotet通過不斷更換外層混淆器,調整自身的代碼邏輯和更新C&C服務器,瘋狂的與安全軟件進行對抗的過程。
火絨再次提醒廣大用戶,尤其企業用戶,請及時做好排查工作,發現可疑郵件可聯系專業人員查看。也可以安裝火絨安全軟件,通過【文件實時監控】、【郵件監控】、【應用加固】和【系統加固】等關鍵性防護功能,避免遭受Emotet木馬病毒威脅,保護終端網絡安全。
一、詳細分析
魚叉郵件中會將惡意文檔(通常為doc、docx、xls、xlsx等)偽裝為企業內部業務相關的溝通信息文檔,從而誘導用戶打開。惡意文檔內的宏腳本被激活后,會啟動powershell下載Emotet木馬病毒,再由rundll32加載執行。Emotet最終會下載執行實質惡意模塊(報告中僅以間諜木馬模塊為例,主要惡意行為為盜取用戶數據)。病毒惡意代碼執行流程,如下圖所示:
病毒惡意代碼執行流程
用于病毒傳播的魚叉郵件內容,如下圖所示:
魚叉郵件內容
本次用作Emotet木馬病毒傳播的惡意文檔內容,如下圖所示:
惡意文檔內容
Emotet木馬病毒執行后會盜取用戶數據,以盜取郵件客戶端工具數據文件為例,相關行為如下圖所示:
相關惡意行為
盜取郵件客戶端工具數據文件代碼,如下圖所示:
盜取Thunderbird數據文件代碼
二、 同源性分析
經分析發現,該病毒的傳播途徑、惡意行為代碼與之前分析的Emotet病毒具有一定的相似性。以下為該病毒樣本與2021年1月份捕獲到的Emotet樣本在關鍵解密函數的代碼對比圖:
此前報告中Emotet關鍵代碼與當前Emotet關鍵代碼同源性對比
