就在一周前Emotet是去年对企业构成最危险的威胁之一,它重新开始了恶意的垃圾邮件活动经过几个月的不运动。根据我们的遥测,我们可以看到僵尸网络开始与它的命令和控制服务器(C2)聊天,大约在垃圾邮件到来的一个星期之前。
上周启动其垃圾邮件活动,情绪恢复了2019年春季采用的矛网络钓鱼策略,劫持了具有个性化主题线的旧电子邮件线程,并作为旧发票。
本周,Emotet尝试了一种不同的策略,将美国国家安全局泄密者爱德华·斯诺登(Edward Snowden)新书的新闻纳入其中永久记录作为一个诱惑。这本回忆录已经登上了亚马逊(Amazon)的畅销书排行榜,引发了激烈的争论。此外,美国政府也是如此起飞雪登违反保密协议,未经批准擅自发表。
众所周知,犯罪分子会利用有新闻价值的事件进行诈骗和其他活动社会工程目的。在这种特殊的案例中,Modet作者认为,据说是雪登的回忆录作为一个词附着。我们从我们的英语,意大利语,西班牙语,德语和德语和汉语蜜罐照片收集了电子邮件法国声称有一份斯诺登的书的Word版本。
在打开文档时,会向受害者显示一条“Word尚未激活”的假信息,并提示他们启用带有黄色安全警告的内容。一旦他们这么做了,什么也不会发生。然而,用户看不到的是一旦点击按钮就会执行的恶意宏代码。
宏触发PowerShell命令,该命令将从受损WordPress站点中检索Montet Malware二进制文件。感染后,机器将试图伸出一个兴趣的许多C2S:
由于庞大的僵尸网络,每到新的一周,Emotet背后的威胁行动者总是能准时发送垃圾邮件。一旦他们发送垃圾邮件并渗透到终端,他们的工作还远没有结束。我们之前说过,如果它没有立即隔离,那么情绪是一个双重甚至三重威胁。备受有效载荷,如TrickBot和琉克ransomware是那些真正能削弱任何没有准备的企业的公司。
必威平台APP伪业务用户而高级家庭用户已经受到了这一威胁的保护。
不是Malwarebytes客户或使必威平台APP用免费扫描仪的用户将希望采取额外的步骤来防止情绪或清理感染,如果他们已经被击中。可能目前正在战斗的企业和组织能够查看我们的兴趣感染情绪紧急套件,其中包括需要立即帮助的人员的联系号码,以及关于如何柔软的工作和保护和修复技巧列表的背景信息。
妥协指标(IOCs)
恶意单词文件
5 ab7a5cf290ebf52647771f893a2fa322a9b1891e5a5e54811c500dd290c8477
Emotet载荷
757年b35d20f05b98f2c51fc7a9b6a57ccbbd428576563d3aff7e0c6b70d544975
网络流量
Emotet: www.cia.com[.]py/wp-content/uploads/2019/09/XNFerERN/ Emotet C2: 62.75.171.248:7080/chunk/window/ringin/ Emotet C2: 133.130.73[.]46 Emotet C2: 178.32.255[.
评论