Emotet 攻击使用虚假 Windows Update 诱饵散发垃圾邮件

在当今的网络安全领域，Emotet僵尸网络是malspam的最大来源之一。malspam是指发送带有恶意软件附件的电子邮件。

这些垃圾邮件运动 对于 Emotet运营商至关重要。

它们是支撑僵尸网络的基础，为Emotet机器提供新的受害者。Emotet机器是一种出租给其他犯罪集团的恶意软件服务(MaaS)网络犯罪活动。

为了防止安全公司追赶并将其电子邮件标记为“恶意”或“垃圾邮件”，Emotet小组会定期更改这些电子邮件的发送方式和文件附件的外观。

Emotet操作员更改电子邮件主题行，电子邮件正文中的文本，文件附件类型以及文件附件的内容，这与电子邮件的其余部分一样重要。

这是因为收到Emotet垃圾邮件的用户除了阅读电子邮件和打开文件外，还需要允许文件执行称为“宏”的自动脚本。只有在用户按下Office文件中显示的“启用编辑”按钮后，Office宏才会执行。

图片：微软

诱骗用户启用编辑对恶意软件操作员而言，与其电子邮件模板，恶意软件或僵尸网络的后端基础结构的设计一样重要。

多年来，Emotet开发了一系列诱骗的Office文档，这些文档使用了各种各样的”lures”来说服用户单击“启用编辑”按钮。

这包括：

• 声称已在不同平台（例如Windows 10移动版，Android或iOS）上编译的文档，并且用户需要启用编辑才能显示内容。
• 声称它们已在Office的较早版本中编译的文档，并且用户需要启用内容的编辑功能。
• 声称处于保护视图中并要求用户启用编辑的文档。（具有讽刺意味的是，“受保护的视图”机制是一个阻止宏，并显示“启用编辑”按钮/限制。）
• 声称包含敏感或有限分发材料的文档，只有在用户启用编辑后，这些材料才可见。
• 显示伪造的激活向导并声称Office激活已完成并且用户只需单击启用编辑即可使用Office的文档；还有很多。

但是这周，Emotet带着一个新文件的诱惑从一个最近的假期来到。

在最近的Emotet活动中发送的文件附件显示一条消息，声称来自Windows Update服务，告诉用户Office应用程序需要更新。自然，必须通过单击“启用编辑”按钮（不要按下它）来完成此操作。

图片：@ catnap707 / Twitter

根据Cryptolaemus小组的最新消息，从昨天开始，这些Emotet诱饵已向全球各地的用户大量散发垃圾邮件。

根据此报告，Emotet在某些受感染的主机上安装了TrickBot木马，即TrickBot僵尸网络幸免于Microsoft及其合作伙伴最近的入侵尝试。

这些被欺骗的文档是从带有欺骗性身份的电子邮件中发送的，这些电子邮件似乎来自熟人和业务合作伙伴。

此外，Emotet经常使用一种称为会话劫持的技术，通过这种技术，它可以从受感染的主机窃取电子邮件线程，并通过欺骗参与者的回复将自身插入到该线程中，并添加被诱骗的Office文档作为附件。

这种技术很难掌握，尤其是在每天处理企业电子邮件的用户中，这就是Emotet经常设法定期感染公司或政府网络的原因。

在这种情况下，培训和意识是预防Emotet攻击的最佳方法。定期处理电子邮件的用户应意识到在文档中启用宏的危险，该功能很少用于合法目的。

知道典型的Emotet诱饵文档的样子也是一个不错的开始，因为当这些电子邮件之一进入收件箱时，即使来自已知的通讯录，用户也可以躲避最常见的Emotet技巧。

根据安全研究人员[@ ps66uk与ZDNet共享的列表，以下是最受欢迎的Emotet文档诱饵的列表。

图片：Cryptolaemus

图片：Sophos

图片：@ pollo290987 / Twitter

图片：@ ps66uk / Twitter

图片：Cryptolaemus

图片：Cryptolaemus

图片：@ JAMESWT_MHT / Twitter

图片：@ ps66uk / Twitter

图片：@ ps66uk / Twitter

图片：@ ps66uk / Twitter

图片：@ Myrtus0x0 / Twitter

图片：Cryptolaemus

图片：@ catnap707 / Twitter

图片：@ ps66uk / Twitter