Emotet小休五個月後重出江湖大舉進攻

惡名昭彰的惡意程式 Emotet 經歷了 5 個月的沉寂,研究人員發現它又再出發展開濫發電郵攻勢,目標是數以十萬計的 Microsoft Office 用戶,企圖讓受害裝置成為殭屍網絡的一員受其擺佈。

發展成熟的殭屍網絡
Emotet 早在 2014 年被首次發現,多年期間一直持續進化成長,現時已是一款十分成熟的殭屍網絡惡意程式,它的目標是盜取盜取受害者的帳號資料和下載其他惡意程式,而最新的個案是銀行木馬程式 TrickBot 和 QakBot。Emotet 這次久休復出並沒有放軟手腳,單日已發出 25 萬封電郵,收件者遍佈美國、英國、阿根廷、巴西、加拿大、智利、厄瓜多爾和墨西哥等國家。

攻擊模式穩中求變
這次 Emotet 的新活動並沒有使用新的策略,一如以往使用附有連結或文件的電郵,傳送高度掩飾的惡意巨集,通過執行 PowerShell 指令從 5 個下載連結中下載惡意的內容,那些濫發的郵件內的 URL 或附件都訛稱是回覆較早前的電郵內容,這正是 Emotet 一直行之有效的舊技倆。除了其中一個樣本的附件名稱為「Form – Jul 17,2020.doc」之外,其他的樣本都偽裝成發票,而檔案其實載有高度掩飾的巨集,打開時會要求收件者啟動內容。

當啟動巨集,Windows Management Instruction便會開啟 PowerShell 並從已受感染的遙距網站下載 Emotet,最後是執行惡意內容,並向 Emotet 的 C&C 伺服器發送確定訊息。根據研究人員透露,這一次攻擊的附件超過數百種,和數以萬計的不同連結,那些下載網址通常指向已被感染的網站,也是 Emotet 一貫慣用手段。

不過有一點引起研究人員注意,除了慣常的電郵連結和 Office 附件,Emotet 在這次攻擊中使用到 PDF 來散播連結,另外,這次 Emotet 作為下載工具追加下載的其他惡意程式包括早在 2009 年已開始活動的 QakBot,像蠕蟲形式一般的資料盜竊惡意程式,而另一款 TrickBot 則是相當知名的銀行木馬程式。

過往曾用 SMS 發動攻擊
Emotet 對上一次活動在今年 2 月,當時曾利用 SMS 假裝成受害者使用的銀行發出,當受害者點擊短訊內的連結時,便會要求輸入銀行帳號登入的資料,並下載檔案以惡意程式 Emotet 感染他們的裝置,當時更發現有樣本能透過不安全的 Wi-Fi 網絡傳播,向受感染裝置的附近發動攻擊。其實在 2019 年 Emotet 也曾經「小休」過,在「暑假」過後再次發動銀行木馬、資料盜竊、電郵收集、自我傳播和加密勒索等攻擊。

Emotet 最高調和活躍的時期在 2018 至 2019 年間,而研究員認為它伙拍其他惡意程式的時候,才會顯示出它真正的破壞能力,例如下載加密勒索程式。

資料來源:Threat Post

Comments are closed