Emotet归来，每天入侵10万个邮箱

　　Emotet在2014年开始作为一个银行木马，并不断发展成为一个全方位的威胁传输机制。它可以在受害者机器上安装一系列的恶意软件，包括信息窃取器、电子邮件采集器、自我传播机制和勒索软件。它最后一次出现在10月份，攻击主要是针对民主党全国委员会(DNC)的志愿者;而在此之前，它活动停顿了5个月后，于7月份又开始活跃，开始投放Trickbot木马。在此之前的2月份，在一次伪造发送来自受害者银行短信的攻击活动中，人们看到了它的身影。

　　"Emotet僵尸网络是在活跃状态下攻击次数非常多的恶意电子邮件发送者之一，但它经常休眠数周或数月，"Cofense的研究员Brad Haas在周二的博客中说。"今年，有一次这样的休眠从2月份一直持续到了7月中旬，这是Cofense在过去的几年中看到的最长的休眠时间。从那时起，他们观察到Emotet的常规活动一直持续到10月底，但从那时起直到今天都没有收到任何消息。"

　　研究人员表示，该僵尸网络的有效载荷一直是保持了原样，没有变化。"在10月份，最常见的有效载荷是TrickBot，Qakbot和ZLoader;今天我们观察到TrickBot，"根据Haas的说法。

　　TrickBot恶意软件是一款知名的而且复杂的木马，最早是在2016年是被作为银行恶意软件而开发出来的--和Emotet一样，它过去也有改变自身并添加新功能以逃避检测或加强感染能力的行为。感染TrickBot木马的用户将看到他们的设备成为僵尸网络的一部分，攻击者用它来加载第二阶段的恶意软件--研究人员称它是 "几乎任何其他恶意软件有效载荷的理想的投放器"。

　　TrickBot感染后典型的后果是银行账户被接管、电信诈骗和勒索软件攻击。它最近实现了检查目标系统的UEFI/BIOS固件的功能。微软和其他公司在10月对该恶意软件的基础架构进行研究攻破后，它又卷土重来了。

　　几家安全公司发现了最新的攻击活动，Proofpoint通过Twitter指出："我们看到了10万多条英语、德语、西班牙语、意大利语等语言的信息。攻击的诱饵主要使用Word附件的线程劫持、被密码保护的压缩包和恶意URL等手段。"

　　线程劫持是Emotet在秋季时增加的一个攻击方式，该攻击方式被Palo Alto Networks的研究人员发现。操作者会将病毒插入到电子邮件中，用以回复目标发送的真实电子邮件。这样收件人没有理由认为这封邮件是恶意的。

　　Proofpoint威胁研究和检测高级总监Sherrod DeGrippo告诉Threatpost，本周的活动对于Emotet来说是非常正常的活动。

　　"我们的团队仍在审计新的样本，到目前为止，我们只发现了非常微小的变化。例如，Emotet的形式现在被做成了一个DLL而不是一个.exe，"DeGrippo说。"当Emotet发动攻击时，我们通常会观察到每天有数十万封电子邮件被发送出去。这次攻击活动与他们的情况差不多。由于这些攻击正在进行中，我们正在实时计数进行更新。这些攻击活动的数量与过去的其他攻击活动类似，一般每天在10万到50万次左右。"

（编辑：东莞站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!