Emotet 攻击使用虚假 Windows Update 诱饵散发垃圾邮件

Andrew 2020-10-16
专栏 - 事件 发布于 2020-10-16 18:07:52 阅读 288 评论 0

在当今的网络安全领域,Emotet僵尸网络是malspam的最大来源之一。malspam是指发送带有恶意软件附件的电子邮件。

这些垃圾邮件运动 对于 Emotet运营商至关重要。

它们是支撑僵尸网络的基础,为Emotet机器提供新的受害者。Emotet机器是一种出租给其他犯罪集团的恶意软件服务(MaaS)网络犯罪活动。

为了防止安全公司追赶并将其电子邮件标记为“恶意”或“垃圾邮件”,Emotet小组会定期更改这些电子邮件的发送方式和文件附件的外观。

Emotet操作员更改电子邮件主题行,电子邮件正文中的文本,文件附件类型以及文件附件的内容,这与电子邮件的其余部分一样重要。

这是因为收到Emotet垃圾邮件的用户除了阅读电子邮件和打开文件外,还需要允许文件执行称为“宏”的自动脚本。只有在用户按下Office文件中显示的“启用编辑”按钮后,Office宏才会执行。

enable-editing.png

图片:微软

诱骗用户启用编辑对恶意软件操作员而言,与其电子邮件模板,恶意软件或僵尸网络的后端基础结构的设计一样重要。

多年来,Emotet开发了一系列诱骗的Office文档,这些文档使用了各种各样的”lures”来说服用户单击“启用编辑”按钮。

这包括:

  • 声称已在不同平台(例如Windows 10移动版,Android或iOS)上编译的文档,并且用户需要启用编辑才能显示内容。
  • 声称它们已在Office的较早版本中编译的文档,并且用户需要启用内容的编辑功能。
  • 声称处于保护视图中并要求用户启用编辑的文档。(具有讽刺意味的是,“受保护的视图”机制是一个阻止宏,并显示“启用编辑”按钮/限制。)
  • 声称包含敏感或有限分发材料的文档,只有在用户启用编辑后,这些材料才可见。
  • 显示伪造的激活向导并声称Office激活已完成并且用户只需单击启用编辑即可使用Office的文档;还有很多。

但是这周,Emotet带着一个新文件的诱惑从一个最近的假期来到。

在最近的Emotet活动中发送的文件附件显示一条消息,声称来自Windows Update服务,告诉用户Office应用程序需要更新。自然,必须通过单击“启用编辑”按钮(不要按下它)来完成此操作。

emotet-windows-update.jpg

图片:@ catnap707 / Twitter

根据Cryptolaemus小组的最新消息,从昨天开始,这些Emotet诱饵已向全球各地的用户大量散发垃圾邮件。

根据此报告,Emotet在某些受感染的主机上安装了TrickBot木马,即TrickBot僵尸网络幸免于Microsoft及其合作伙伴最近的入侵尝试。

这些被欺骗的文档是从带有欺骗性身份的电子邮件中发送的,这些电子邮件似乎来自熟人和业务合作伙伴。

此外,Emotet经常使用一种称为会话劫持的技术,通过这种技术,它可以从受感染的主机窃取电子邮件线程,并通过欺骗参与者的回复将自身插入到该线程中,并添加被诱骗的Office文档作为附件。

这种技术很难掌握,尤其是在每天处理企业电子邮件的用户中,这就是Emotet经常设法定期感染公司或政府网络的原因。

在这种情况下,培训和意识是预防Emotet攻击的最佳方法。定期处理电子邮件的用户应意识到在文档中启用宏的危险,该功能很少用于合法目的。

知道典型的Emotet诱饵文档的样子也是一个不错的开始,因为当这些电子邮件之一进入收件箱时,即使来自已知的通讯录,用户也可以躲避最常见的Emotet技巧。

根据安全研究人员[@ ps66uk与ZDNet共享的列表,以下是最受欢迎的Emotet文档诱饵的列表。

emotet-windows-10.png

图片:Cryptolaemus

emotet-ios.png

图片:Sophos

emotet-android.jpg

图片:@ pollo290987 / Twitter

emotet-openoffice.png

图片:@ ps66uk / Twitter

emotet-office.png

图片:Cryptolaemus

emotet-office-rus.jpg

图片:Cryptolaemus

emotet-word.jpg

图片:@ JAMESWT_MHT / Twitter

emotet-word-2.png

图片:@ ps66uk / Twitter

emotet-word.png

图片:@ ps66uk / Twitter

emotet-word-eror.png

图片:@ ps66uk / Twitter

emotet-activation-wizard.png

图片:@ Myrtus0x0 / Twitter

emotet-red-dawn.jpg

图片:Cryptolaemus

emotet-protected.jpg

图片:@ catnap707 / Twitter

emotet-protected.png

图片:@ ps66uk / Twitter

emotet-interruption.png

本作品采用《CC 协议》,转载必须注明作者和本文链接
讨论数量: 0
(= ̄ω ̄=)··· 暂无内容!
请勿发布不友善或者负能量的内容。与人为善,比聪明更重要!