您现在的位置:首页>>新闻中心>>数据泄漏事件
新闻中心

Emotet银行木马现身新的大型垃圾邮件活动

在为Emotet银行木马添加提取电子邮件功能一周后,经过一段时间的低调蛰伏,幕后黑手发起了一场新的大规模垃圾邮件活动。


Emotet简介


Emotet是一个银行木马家族,因其模块化架构,持久性技术和蠕虫式自传播而臭名昭着。它通过垃圾邮件活动分发各种看似合法的恶意附件。木马通常被当做下载器,承载潜在的更具破坏性的辅助性有效负载。(前情回顾:Emotet银行木马新增提取电子邮件功能,分析能力升级


新活动


根据ESET的遥测,最新的Emotet活动于2018年11月5日推出,经过一段时间的低调活动。图1显示了2018年11月初Emotet检测率的峰值。



最新的Emotet活动似乎最活跃于美洲,英国,土耳其和南非。在2018年11月的活动中,Emotet利用恶意Word和PDF附件冒充来自合法组织的发票、付款通知、银行账户提醒等。又或者邮件中包含恶意链接而不是附件。活动中使用的电子邮件主题显示,针对目标是说英语和德语的用户。图2从文档检测的角度展示了2018年11月的Emotet活动。图3是这次活动的附件示例。



2018年11月Emotet相关文档的ESET检测分布



最新Emotet广告系列中使用的恶意Word文档示例


按照文档中的说明,受害者在Word中启用宏或单击PDF中的链接。随后安装并启动Emotet有效负载,在计算机上建立持久性并向其C&C服务器传递数据。同时它还会接收有关下载攻击模块和辅助有效负载的指令。


这些模块通过一个或多个凭证窃取,网络传播,敏感信息收集,端口转发和其他功能来扩展初始有效负载的功能。至于辅助性有效负载,此活动已经看到Emotet在受感染的计算机上投放了TrickBot和IcedId。


结论


最近Emotet活动量的激增仅表明Emotet仍然是一个活跃的威胁因子,随着最近的模块更新,它的功能愈发强大,可能带来的负面影响也越来越严重,令人担忧的程度也大幅提升。


中安威士:保护核心数据,捍卫网络安全


来源:黑客视界


Copyright © 2016 中安威士(北京)科技有限公司 版权所有 京ICP备14001844号-1