攻防最前线:银行木马Emotet传播感恩节特制“祝福”

栏目: 编程工具 · 发布时间: 6年前

攻防最前线:银行木马Emotet传播感恩节特制“祝福”

几乎无处不在的银行木马Emotet沉寂一段时间之后再度活跃,此次活跃与感恩节主题活动有关。

Forcepoint的研究人员发现,Emotet通过新的策略和模块升级了功能,增强了杀伤力。Emotet背后的犯罪分子利用全民准备欢度感恩节的时机,每天发送约27,000个邮件,邮件内容的措辞与以往欺骗金融界受害者的钓鱼邮件内容有所不同。

攻防最前线:银行木马Emotet传播感恩节特制“祝福”

这些邮件内容字里行间洋溢着节日的氛围(如图),然后再附上感恩节卡片。所谓的节日卡片实际上是一个带有内嵌宏的文档,它导向用户至负载Emotet的PowerShell下载程序,此外,它还充当其他有效负载的下载器。一旦用户单击文档,攻击过程就会被启动。

研究人员还发现该文档不是在Emotet活动中常见的.doc或.docx,而是伪装成.doc的XML文件。他们引用的例子中的宏使用Shapes特性,最终调用了 shell 函数。其中的宏也由典型的Emotet模式中演化而来,升级了其混淆和格式。

攻防最前线:银行木马Emotet传播感恩节特制“祝福”

当宏调用shell函数(使用vbHide的WindowStyle)时,输出了一个严重混淆的命令。在解码指令时,可以发现Emotet常用的的标准PowerShell下载程序。

“虽然此类活动并不新颖……但由于巨大的电子邮件发送量,它确实为防御者带来了挑战,因为他们需要迅速创建签名检测遏制汹涌的邮件大潮。”Forcepoint团队表示。

这项研究与Cofense 情报机构的研究结果有类似之处,该机构上周观察到充满表情符号的电子邮件席卷美国主流金融机构,从参与活动的Emotet表现中发现其升级了功能——盗窃联系人列表和签名块。

虽然这个模块升级的确切原因尚不清楚,但Cofense Intelligence评估它将用于支持参与者的社会工程工作,使用被盗数据来改进Geodo网络钓鱼模板,或者用于直接(非法)创造经济利益——将窃取的信息销售给出价最高的卖家。新模块的引入对社会工程工作的复杂度和影响力产生了显著的影响。

声明:本文来自黑客视界,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如需转载,请联系原作者获取授权。


以上所述就是小编给大家介绍的《攻防最前线:银行木马Emotet传播感恩节特制“祝福”》,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对 码农网 的支持!

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

中国机器人

中国机器人

[中]王鸿鹏、[中]马娜 / 辽宁人民出版社 / 2017-1-1 / 48.00元

本书对中国机器人领域的发展历史做了引人入胜的介绍,中国机器人成长的过程也是中国经济由弱到强的历程。本书实际是选择了一个独特的视角来解读中国数十年的政治、经济、国家战略问题。中国的未来充满了多重可能性,本书对想了解中国当代与未来发展战略的读者是难得的读本,对智能制造这一当今世界*受关注的高科技领域在战略层面和科技伦理层面进行了深入地剖析和思考,其中提出的诸多前沿性观点是全球都将面对的问题,对中国科学......一起来看看 《中国机器人》 这本书的介绍吧!

MD5 加密
MD5 加密

MD5 加密工具

Markdown 在线编辑器
Markdown 在线编辑器

Markdown 在线编辑器

正则表达式在线测试
正则表达式在线测试

正则表达式在线测试