恶意软件埃莫特正在重建僵尸网络
恶意软件于 2014 年首次作为银行特洛伊木马程序被发现,后来演变为全球网络犯罪分子部署的用于非法访问计算机系统的强大工具。
恶意软件的创建者 - APT 组 TA542 - 雇用 Emotet 给其他网络罪犯,他们用它来将恶意软件(如银行木马或勒索软件)安装到受害者的计算机上。
作为加拿大、法国、德国、立陶宛、荷兰、联合王国、美国和乌克兰当局协调行动的一部分,Emotet的僵尸网络基础设施于1月被拆除。
欧洲刑警组织与欧洲司法组织一起协调全球拆除行动,称Emotet是"世界上最危险的恶意软件",其创建者"设法将电子邮件作为攻击媒介提升到一个新的水平"。
现在,一个由来自加密胶质、G DATA和AdvIntel的研究人员组成的团队已经报告观察了TriceBot木马程序,该木马木马为E莫特发射了一个新的装载机。
在一篇博文中,Luca Ebach说,内部处理已经确定了一个动态链接库(DLL),TrickBot试图下载为E莫特。
最初的人工验证让研究人员"高度相信这些样本确实是臭名昭著的E莫特的再化身"。该小组目前正在进行深入分析,以寻求更明确的结果。
数字阴影公司的网络威胁情报分析师斯特凡诺·德·布拉西说:"Emotet又回到了现场,公平地说,我们并不感到惊讶。
他补充说:"据报道,臭名昭著的恶意软件的新变种遵循了类似的方式,除了其他命令和控制 (C2) 有效载荷之外,还提供恶意办公室或 ZIP 文件。
德布拉西预测,许多网络犯罪集团可能在未来几个月内恢复使用E莫特。
KnowBe4的安全意识倡导者Erich Kron评论道:"看到恶意软件像Emotet那样成功和广泛,重新回到网络犯罪领域并不奇怪,但是,要达到以前的规模还需要一些时间。
他预测:"不幸的是,我们可以看到这些受感染的设备被用来增加勒索软件的传播,而勒索软件已经失控。
