本周Emotet攻击使用新模板伪装成MicrosoftOffice消息,敦促收件人更新其MicrosoftWord以添加新功能。Emotet垃圾邮件利用新模板诱骗受害者启用宏,从而感染他们。安装恶意软件后,Emotet会在计算机上下载其他有效载荷,包括勒索软件,并用它来发送垃圾邮件。Emotet银行木马至少从2014年开始活跃,跟踪显示该僵尸网络由标记为TA542的恶意行为者控制。8月中旬,该恶意软件被用于全新的以COVID19为主题的垃圾邮件活动。最近的垃圾邮件活动使用带有恶意Word文档的电子邮件或伪装成发票、快递信息、COVID-19建议、简历、财务文档或扫描文档的链接。臭名昭著的银行特洛伊木马也被用来传送恶意代码,例如Trickbot和QBot特洛伊木马或勒索软件,例如Conti(TrickBot)或ProLock(QBot)。Emotet是一种模块化恶意软件,其操作者可以开发新的动态链接库来更新其功能。近日,网络安全和基础设施安全局(CISA)发布警报称,自8月以来,针对美国多个州和地方政府的Emotet攻击数量激增。在此期间,CISA的入侵检测系统EINSTEIN已检测到大约16,000个与Emotet活动相关的警报。一直在观察的研究人员最近在10月14日发现,攻击者使用各种诱饵来引诱受害者,包括发票、采购订单、快递信息、COVID-19咨询以及有关特朗普总统的健康新闻。垃圾邮件带有恶意Word(.doc)附件或包含下载诱饵文档的链接。BleepingComputer报道称,本周Emotet切换到新模板,伪装成来自MicrosoftOffice的消息,指出MicrosoftWord需要更新以添加新功能。下面显示的是受害者收到的一些诱饵消息,以诱使他启用宏。升级您的MicrosoftWord版本单击“启用编辑”,然后单击“启用内容”启用宏后,Emotet恶意软件将自动下载并安装在受害者的%LocalAppData%文件夹中。BleepingComputer总结道:“因此,所有电子邮件用户都必须识别Emotet使用的恶意文档模板,以确保您的计算机不会被意外感染。”
