在沉寂了两个月之后,Emotet僵尸网络再次被激活,开始向全球大规模发送垃圾电子邮件。
在上周,已经有德国、英国、波兰、意大利、美国的个人、企业和政府机构收到了此类邮件。
Emotet僵尸网络在8月22日被重新激活
一些网络安全研究人员在今年6月初注意到,Emotet的C2服务器开始陷入沉寂,不再向受感染设备(“肉鸡”)发送指令。
这种情况一直持续到上个月22日,沉寂的Emotet C2服务器再次被唤醒,开始响应由受感染设备发出的请求。
分析表明,Emotet僵尸网络的运营团队此次似乎做足了准备。例如,他们清除了假冒的“肉鸡”,并建立起了新的传播渠道(如被黑掉的合法网站以及专门创建的恶意网站)
在新活动中,被用来传播恶意有效载荷的网站包括:
- customernoble.com
- taxolabs.com
- www.mutlukadinlarakademisi.com
- www.holyurbanhotel.com
- keikomimura.com
- charosjewellery.co.uk
- think1.com
- broadpeakdefense.com
- lecairtravels.com
- www.biyunhui.com
- nautcoins.com
电子邮件安全公司Cofense的安全研究人员表示,他们到目前为止已经捕获到了来自385个顶级域名(TLDs)的3万多个域名的近6.6万封Emotet垃圾电子邮件。
至于这些电子邮件的来源,Cofense表示它们来自至少3362名电子邮箱账号密码被盗的发件人。
这一说法在后来也得到了安全研究人员James_inthe_box和Brad Duncan,基于他们对感染流量的分析。
Emotet垃圾电子邮件分析
根据Cofense和JamesWT分享的Emotet垃圾电子邮件样本来看,被发送给英国用户的电子邮件大都采用的是与金融有关的主题,并且多数是对之前电子邮件的回复。
被发送给波兰和意大利用户的电子邮件,会提示收件人查看存在问题的账单。
在发送给德国用户的电子邮件中,发件人声称某些文档存在问题,并要求收件人查看。
被发送给美国用户的电子邮件则略显不同,它们并不是对之前电子邮件的回复,而是伪装成来自某些政府机构,要求收件人打开附件以确认一份文件。
恶意有效载荷通过Word文档安装
在发送给波兰和意大利用户的电子邮件中,恶意宏代码会运行一个PowerShell命令,以从几个被黑网站下载恶意有效载荷。
据称,除Emotet银行木马外,在此次活动中传播的恶意有效载荷还包括Trickbot银行木马。
鉴于Trickbot和勒索软件Ryuk的关联,感染了Trickbot的用户还被认为在之后很有可能会感染Ryuk。
怎么说呢?反正来历不明的电子邮件,最好不要打开就是了!
