Emotet因大量垃圾邮件活动而崛起

纠错:5/22/19之前，我们错误地表示Emotet正在使用一个永恒之蓝漏洞，以便在网络中横向传播。然而，Emotet只尝试枚举网络资源和写入共享驱动器，以及暴力用户帐户。

也许让我们（和其他研究人员）得出这一结论的原因是，TrickBot，一种我们经常看到由Emotet加载的有效载荷，利用永恒蓝漏洞来传播自己连接到网络上的域控制器和其他Windows客户端。

我们强烈推荐任何受到Modeet影响的人继续补丁针对EternalBlue和其他相关SMB漏洞，以防止此类横向恶意软件传播。

威胁景观再次变化，现在加密货币矿工的海洋缩小到一个小湖泊。在过去的几个月中，我们看到网络犯罪分子倾斜，凭借熟悉的银行场合木马的崛起：Emotet.

然而，在过去几天里，我们注意到恶意垃圾邮件的传播大幅增加Emotet，以及我们客户的较高次数。看起来我们正处于积极的爱情活动中间。

什么是Emotet？

对于那些不熟悉的人来说，情绪是多年来一直存在许多目的的令人讨厌的恶意软件，包括窃取数据和窃听网络流量。对于最新的技巧，情绪蔓延了其他银行特洛伊木马，或者窃取你的财务信息、银行登录信息的恶意软件，在某些情况下，还会窃取比特币钱包。

Emotet能够通过使用流行的EternalBlue漏洞在网络中传播，该漏洞在著名的WannaCry勒索软件爆发.此功能使恶意软件对企业更加危险，这些企业将与众不同。

一旦系统被感染，Emotet就可以通过内置的垃圾邮件模块在网络之外传播。将一个受Emotet感染的端点想象成一朵花。埃莫泰特垃圾邮件那么，模块将是蜜蜂，它们将花粉从一朵花传播到另一朵花。垃圾邮件模块将新的感染发送到其他系统，这些系统（如果用户成为受害者）会创建更多的新感染，然后将垃圾邮件发送到更多系统。这一过程再次继续。

现在，将我们隐喻性的授粉过程至少加快1000倍，您可以开始看到Emotet是如何快速为企业制造大量……嗯，鲜花的。必威官网多少

垃圾邮件活动

最近，安全社区注意到，传播Emotet或来自感染Emotet的系统的恶意垃圾邮件有所增加。除了Emotet，这个恶意垃圾邮件活动也在推动三角架，一种流行的信息窃取恶意软件那我们去年谈过当使用与WannaCry相同的漏洞发现未使用的代码时。

我们看到了一个大的#表情maldocs的垃圾邮件活动，最初喷出恶意Word文档，但现在发送PDF。在高峰期，我们在3小时内拦截了超过30万封垃圾邮件。检测名称：特洛伊木马下载程序：PDF/Domepidief.Ahttps://t.co/pWja45EInRpic.twitter.com/8uAdQ6d7v3

- Microsoft Security Intelligence（@Msftsecintel）2018年9月18日

此垃圾邮件广告系列正在将恶意文档推向用户：第一个Microsoft Word文档与恶意宏脚本，然后是具有内置恶意脚本的PDF。这种攻击方法（MALSPAM），使用这些特定的文件类型（恶意文档）已成为当今扩展恶意软件的De-Facto默认方法。

目前正在传播Emotet和Trickbot的恶意垃圾邮件也有类似的主题。以下是此活动的常见主题行列表：

销售发票账户九月发票**** from **** Statement 20/09/2018 for customer ******** **** **** **** **** ***完整发票Q7370 - 2018年9月21日过期发票关于:您最近的发票请求从**** ****发票准备查看9月发票vi - b58986从****服务发票****发票/信贷****报表/发票准备查看您的****发票为开票期08/2018

统计数据的增加

除了MALSPAM扩散情感的增加外，我们还观察到来自用户的情绪检测。下图显示了五个月的时间，从4月中旬到2018年9月中旬，一天破了下来。您可以在夏季结束进入9月，在夏天结束时，您可以看到稳定增加，在几天前只发生了最大的尖峰。虽然这不是一个标志，当你将那个尖峰结合在一起的情感速度时，虽然是快速有效地传播自己的尖峰，但我们可以在周末进行一些令人讨厌的感染。

尽管它的UPS和Downs-Downs-Modtet在过去一年中没有看到持续的兴起，但2018年早些时候有类似的大规模的爱情和Trickbot运动，剧情在安全社区的大部分方面都有一点刺。那一年。那是因为它的时候是如果是主动的，它有可能造成很大的伤害。

损失多少钱?Emotet是危险的，不仅因为它能够像野火一样蔓延，窃取敏感的财务数据，还因为它可以下载并安装额外的恶意软件，这为从间谍软件到勒索软件的任何入侵打开了大门。潜在的后果可能包括:

• 盗窃个人身份信息（PII），哪个可能导致身份盗窃
• 被盗的财务信息，这可能会导致后来的勒索
• 被盗的专有信息，可用于赎金
• 凭据盗窃，这意味着其他帐户和密码易受攻击
• 盗窃本地存储的加密货币钱包
• 网络管理员的延长修复时间
• 对于必须从网络中取出的工人的生产力损失

保持受保护

从当前的Emotet活动中保持安全并不特别困难，因为它是通过恶意垃圾邮件传播的。然而，对常见的网络钓鱼技术缺乏敏锐眼光或很少接受培训的用户可能会成为受害者。防范Emotet最简单的方法之一就是密切关注可疑的电子邮件，尤其是如果它们有上面提到的主题行之一，包括Office文档或PDF附件，并且来自无法识别的电子邮件地址。然而，当涉及到社会工程学，不能保证有人不会被愚弄。

值得庆幸的是，即使他们打开电子邮件并下载文档，Malwarebytes用户(包括购买的用户)必威平台APP必威平台APP马尔瓦雷比特高级酒店和商业客户)将不会受到文档中的恶意代码的攻击，因为我们的反利用技术识别出恶意脚本并阻止它。

此外，启用实时保护的用户，如果恶意软件以某种方式设法通过反攻击防御，则其自身将被阻止。

另一种确保安全的方法是:确保系统安全修补了永久蓝色漏洞，这仍然可以利用 - 最好是前遇到这种威胁。

必威平台APPMalwarebytes努力努力留意这种威胁，更重要的是，如何阻止它。情绪是一个卑鄙的对手，我们希望继续通过今年剩下的时间以及任何未来的演变或复制猫。

这就是说，确保你、你的家人和你的员工知道如何识别试图发送Emotet或任何其他威胁的电子邮件是打击网络犯罪的一个关键支柱，这与拥有强安全解决方案以及“最坏情况”计划，以保护您的数据、用户和修复您的计算机。

感谢阅读，祝你好运，冲浪安全!