是的,你没看错,Emotet恶意软件也被其他人黑过!近日,有人为了取笑Emotet僵尸网络站点,直接破解了Emotet恶意软件的分布,替换了Emotet原本使用的恶意Payload和GIF图片。研究人员发现,这种针对Emotet恶意软件的攻击在过去几天一直在进行,而这次攻击也导致Emotet垃圾邮件活动暂停了一段时间,因为他们需要想办法找回自己对Emotet的控制权分发网站。大家应该都知道,Emotet的分发和分发依赖于这些被黑的网站,网络犯罪分子需要利用这些网站来存储攻击载荷以进行垃圾邮件活动。当垃圾邮件活动的目标用户被诱骗打开垃圾邮件附件时,恶意附件中嵌入的恶意宏??将被执行,Emotet恶意软件负载将从僵尸网络中检索和下载。如果没有这些恶意负载,目标用户的计算机将不会受到Emotet的控制。因此,Heren是否在僵尸网络的分布网络中替换了原有的恶意软件(Payload),这种行为对用户是有利的,这种行为也让Emotet背后的攻击者忙得不可开交。一直在研究Emotet恶意软件的Cryptolaemus研究团队成员JosephRoosen也称Emotet恶意软件活动背后的人为“白衣骑士”。目前,Emotet僵尸网络分发站点上的恶意文档和载荷已被替换为各种图片。研究人员打开Emotet恶意软件分发站点后,首先看到的是JamesFranco的照片,随后Emotet分发站点也与Hackerman模因相关。Roosen在推文中写道:“目前,Emotet恶意软件攻击活动仍在进行中。受影响的站点是EmotetT1分发站点,该站点主要负责托管垃圾邮件活动中使用的恶意附件、文档,以及恶意软件。”研究人员在接受BleepingComputer采访时表示,由于这次“白衣骑士”的行为,Emotet背后的攻击者将垃圾邮件活动置于待命状态。当然,Emotet背后的攻击者可能对Emotet进行了一些升级和改动,以保护他们的恶意活动。在发送垃圾邮件时,Emotet使用各种不同的电子邮件模板和恶意附件文档来传播恶意软件。一些垃圾邮件将恶意Word文档直接附加到电子邮件中,而其他垃圾邮件则包含用户必须单击才能下载文档的链接。对于那些包含网络钓鱼链接的恶意电子邮件,当目标用户点击它们时,他们现在不会打开并安装恶意文档/恶意软件,而是会看到模因或无意义的图像。以下是Emotet分发站点目前的模样:视频地址:https://vimeo.com/441369969微软网络安全研究员KevinBeaumont也注意到了Emotet受到的攻击。检查了一下,发现大约四分之一的payload被GIF图片代替了。据研究人员称,整个内容替换活动发生得非常快。Emotet上传恶意payload后,不到一个小时就全部被替换掉了。此外,研究人员发现,在某些情况下,攻击者的移动速度出奇地快,不到两分钟就替换了恶意软件负载。事实上,Emotet背后的攻击者一直在使用webshel??l来管理和维护他们的分发网络。因此,目前最合理的解释是有人获得了Emotet的管理密码,并决定利用这一优势对Emotet进行攻击。KevinBeaumont于2019年12月末发推称,Emotet背后的攻击者使用开源的webshel??l来管理和控制分发网站,并循环生成访问密码,因为无需更改密码而烦恼。但现在,研究人员认为有人在Emotet分发站点上获得了webshel??l密码,并决定以编程方式替换该站点上的原始恶意负载。然而,Roosen还指出,Emotet可能有其他方法来传播和投放其恶意负载,并可能找到一种方法来重新获得对他们用来传播恶意软件的网站的访问权。如果Emotet背后的攻击者仍然能够控制网站托管的硬件,他们可以使用不同的密码部署新的webshel??l并重新获得对Emotet分发网络的控制权。然而,Emotet使用的服务器很可能是从其他进行流量重定向攻击的网络犯罪分子那里购买的,可以通过钓鱼网站或合法网站中的广告和虚假促销来吸引用户。并想方设法诱骗用户进行各种欺诈活动。在撰写本文时,Emotet网站上的一些替换内容已被重定向到其他资源。
