攻防最前线：银行木马Emotet传播感恩节特制“祝福”

几乎无处不在的银行木马Emotet沉寂一段时间之后再度活跃，此次活跃与感恩节主题活动有关。

Forcepoint的研究人员发现，Emotet通过新的策略和模块升级了功能，增强了杀伤力。Emotet背后的犯罪分子利用全民准备欢度感恩节的时机，每天发送约27,000个邮件，邮件内容的措辞与以往欺骗金融界受害者的钓鱼邮件内容有所不同。

这些邮件内容字里行间洋溢着节日的氛围（如图），然后再附上感恩节卡片。所谓的节日卡片实际上是一个带有内嵌宏的文档，它导向用户至负载Emotet的PowerShell下载程序，此外，它还充当其他有效负载的下载器。一旦用户单击文档，攻击过程就会被启动。

研究人员还发现该文档不是在Emotet活动中常见的.doc或.docx，而是伪装成.doc的XML文件。他们引用的例子中的宏使用Shapes特性，最终调用了 shell 函数。其中的宏也由典型的Emotet模式中演化而来，升级了其混淆和格式。

当宏调用shell函数（使用vbHide的WindowStyle）时，输出了一个严重混淆的命令。在解码指令时，可以发现Emotet常用的的标准PowerShell下载程序。

“虽然此类活动并不新颖……但由于巨大的电子邮件发送量，它确实为防御者带来了挑战，因为他们需要迅速创建签名检测遏制汹涌的邮件大潮。”Forcepoint团队表示。

这项研究与Cofense 情报机构的研究结果有类似之处，该机构上周观察到充满表情符号的电子邮件席卷美国主流金融机构，从参与活动的Emotet表现中发现其升级了功能——盗窃联系人列表和签名块。

虽然这个模块升级的确切原因尚不清楚，但Cofense Intelligence评估它将用于支持参与者的社会工程工作，使用被盗数据来改进Geodo网络钓鱼模板，或者用于直接（非法）创造经济利益——将窃取的信息销售给出价最高的卖家。新模块的引入对社会工程工作的复杂度和影响力产生了显著的影响。

声明：本文来自黑客视界，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如需转载，请联系原作者获取授权。