攻防最前线:银行木马Emotet传播感恩节特制“祝福”

栏目: 编程工具 · 发布时间: 6年前

攻防最前线:银行木马Emotet传播感恩节特制“祝福”

几乎无处不在的银行木马Emotet沉寂一段时间之后再度活跃,此次活跃与感恩节主题活动有关。

Forcepoint的研究人员发现,Emotet通过新的策略和模块升级了功能,增强了杀伤力。Emotet背后的犯罪分子利用全民准备欢度感恩节的时机,每天发送约27,000个邮件,邮件内容的措辞与以往欺骗金融界受害者的钓鱼邮件内容有所不同。

攻防最前线:银行木马Emotet传播感恩节特制“祝福”

这些邮件内容字里行间洋溢着节日的氛围(如图),然后再附上感恩节卡片。所谓的节日卡片实际上是一个带有内嵌宏的文档,它导向用户至负载Emotet的PowerShell下载程序,此外,它还充当其他有效负载的下载器。一旦用户单击文档,攻击过程就会被启动。

研究人员还发现该文档不是在Emotet活动中常见的.doc或.docx,而是伪装成.doc的XML文件。他们引用的例子中的宏使用Shapes特性,最终调用了 shell 函数。其中的宏也由典型的Emotet模式中演化而来,升级了其混淆和格式。

攻防最前线:银行木马Emotet传播感恩节特制“祝福”

当宏调用shell函数(使用vbHide的WindowStyle)时,输出了一个严重混淆的命令。在解码指令时,可以发现Emotet常用的的标准PowerShell下载程序。

“虽然此类活动并不新颖……但由于巨大的电子邮件发送量,它确实为防御者带来了挑战,因为他们需要迅速创建签名检测遏制汹涌的邮件大潮。”Forcepoint团队表示。

这项研究与Cofense 情报机构的研究结果有类似之处,该机构上周观察到充满表情符号的电子邮件席卷美国主流金融机构,从参与活动的Emotet表现中发现其升级了功能——盗窃联系人列表和签名块。

虽然这个模块升级的确切原因尚不清楚,但Cofense Intelligence评估它将用于支持参与者的社会工程工作,使用被盗数据来改进Geodo网络钓鱼模板,或者用于直接(非法)创造经济利益——将窃取的信息销售给出价最高的卖家。新模块的引入对社会工程工作的复杂度和影响力产生了显著的影响。

声明:本文来自黑客视界,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如需转载,请联系原作者获取授权。


以上所述就是小编给大家介绍的《攻防最前线:银行木马Emotet传播感恩节特制“祝福”》,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对 码农网 的支持!

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

打火机与公主裙·荒草园

打火机与公主裙·荒草园

Twentine / 青岛出版社 / 2017-3 / 36.00元

“如果人临死前真有走马灯这个环节,她大概会是我这辈子见的最后一人。” 从青涩的校园时代里一抹明亮的金,到厮杀的职场中那化不开的黑,李峋就像荒芜之地的一株野草,受到再大的挫折依然固执地生长。 如果说朱韵从前的生活一直维持着表面的顺风顺水,平静安和,那李峋的出现则打破了这一切。他是她生命中第一次,也是唯一一次的冒险。 在外人眼里李峋嚣张而轻蔑,只有朱韵懂得他心中那片自留地,自愿成为孤......一起来看看 《打火机与公主裙·荒草园》 这本书的介绍吧!

JS 压缩/解压工具
JS 压缩/解压工具

在线压缩/解压 JS 代码

MD5 加密
MD5 加密

MD5 加密工具

HEX CMYK 转换工具
HEX CMYK 转换工具

HEX CMYK 互转工具