在消失了大约4个月后,旧的恶意软件Emotet正在卷土重来。安全公司Proofpoint表示,自2022年11月上旬以来,Emotet再次重返邮件攻击领域,每天发送数十万封钓鱼邮件,成为观察到数量最多的攻击者之一。据悉,Emotet最后一次活跃是在2022年7月,而这一新活动标志着Emotet正在恢复其作为主要恶意软件家族的全部功能。这一次,他们的主要目标地区包括美国、英国、日本、德国、意大利、法国、西班牙、墨西哥和巴西。在新一轮攻击中,Emotet发送的钓鱼邮件通常包含Excel附件或受密码保护的zip附件,其中还包含Excel文件。Excel文件包含XL4宏,可从多个内置URL下载Emotet有效负载。但自从微软最近宣布将开始默认禁用从互联网下载的Office文档中的宏,许多恶意软件已经开始从Office宏迁移到其他交付机制,例如ISO和LNK文件。虽然Emotet采用了旧方法,但它采用了另一种方式,诱使受害者将文件复制到MicrosoftOffice中的受信任位置,在该位置签入文件后将立即执行宏,而不会发出警告。但是,当将文件移动到受信任的位置时,操作系统要求用户具有管理员权限才能执行此类移动。虽然整体活动和7月差不多,但Emotet这次还是有很多更新,包括loader组件的改动,新命令的加入,以及更新加壳器以抵抗逆向工程。值得注意的是,Emotet的payload,即IcedID加载器,使用了一个新的变体,它不仅可以接收读取文件内容的命令,将文件内容发送到远程服务器,还可以执行其他后门命令来提取网络浏览器数据。研究人员担心全新的IcedID,因为它可能成为勒索软件攻击的垫脚石。Emotet自2014年以来一直是全球最大的恶意软件家族之一。2021年1月,Emotet僵尸网络被执法部门取缔,4月25日发布“自毁模块”后彻底销毁,C2服务器几乎瘫痪。2021年11月,Emotet复活并开始断断续续地开展活动。
