破坏性Emotet僵尸网络卷土重来,带来25万封有毒电子邮件

2020-07-19 00:54:14

世界上成本最高、破坏性最强的僵尸网络Emotet上周五带着一系列恶意垃圾邮件重返网络,该垃圾邮件旨在传播安装勒索软件、银行欺诈特洛伊木马和其他令人讨厌的恶意软件的后门。

安全公司Proofpoint的威胁研究和检测高级总监谢罗德·德格里波(Sherrod DeGrippo)告诉ARS,僵尸网络在白天发送了大量25万条消息,主要发送给美国和英国的人。其他研究人员说,目标也位于中东、南美和非洲。僵尸网络遵循其特有的模式,即发送恶意文档或指向恶意文件的链接,一旦激活,就会安装Emotet后门。

僵尸网络在周二首次给出了回归的迹象,发出的消息量很小。来自威胁监视器abuse.ch和Spamhaus的Twitter账户上出现的电子邮件样本如下所示:

反病毒提供商Malwarebytes和微软也发现了Emotet在周五的复苏。

Emotet已被证明是近年来人们面临的更足智多谋的威胁之一。电子邮件通常看起来是从目标过去通信过的人那里发来的。恶意信息通常使用两人之前参与过的电子邮件主题行和正文。Emotet通过收集受感染计算机的联系人列表和收件箱来获取此信息。

这项技术有双重好处。它诱使目标认为消息是可信的,因为它来自已知的朋友、熟人或商业伙伴,他们正在跟进之前讨论过的问题。包含可信内容也使垃圾邮件过滤器更难检测到恶意电子邮件。

Emotet的另一个聪明伎俩是窃取外发电子邮件服务器的用户名和密码。然后,僵尸网络使用凭据从这些服务器发送邮件,而不是依赖自己的基础设施。因为受信任的服务器发送恶意消息,所以安全产品更难检测和阻止它们。

DiGrippo说,Emotet最后一次出现是在2月初为期五天的跑步期间,传递了大约180万条信息。僵尸网络以在短时间内进行大爆炸,然后一次沉默数周或数月而闻名。去年9月,它从沉睡了四个月的状态中苏醒过来。

该组织以长时间休息而闻名,并定期在周末和主要假日季节休假。像往常一样,最新的Emotet活动在周六早上完全停止了,因为这篇帖子上线了。除了让员工保持健康的工作和生活平衡外,这个时间表还能让活动更成功。

“对于大多数威胁行为者来说,关键是尽量缩短(恶意邮件)到达收件箱和被目标打开之间的时间。”迪格里波解释说。“这段时间过去的时间越长,威胁参与者的风险就越大,即他们的有效载荷因减轻控制而无法交付的风险就越大。”

Emotet邮件包括恶意Microsoft Word文档,或链接到恶意Word文件的PDF文件或URL。Word文档包含在激活时安装Emotet后门的宏。后门通常需要等待几天才能安装后续恶意软件,如银行特洛伊木马Trickbot或Ryuk勒索软件。

研究人员已经公布了周五信息爆炸的折衷指标,这里,这里和这里。

Emotet是另一个提醒,人们应该高度怀疑通过电子邮件发送的文件和链接,特别是它似乎是断章取义的,比如当朋友发送发票时。人们应该对任何要求在查看内容之前启用宏的Word文档加倍怀疑。消费者几乎没有任何理由使用宏,所以一个好的家庭规则是永远不要出于任何原因启用宏。一个更好的策略仍然是在Google Docs中打开Word文档,这样可以防止在本地计算机上安装任何恶意软件。