臭名昭著的Emotet恶意软件返回与大量恶意软件活动

臭名昭著的Emotet恶意软件以新的活力卷土重来，这是一场旨在丢弃IcedID和大黄蜂等有效载荷的大规模恶意垃圾邮件活动的一部分。

企业安全公司Proofpoint上周表示，自2022年11月初以来，“每天发送数十万封电子邮件”，并补充道，“新的活动表明Emotet正在恢复其作为主要恶意软件家族的传送网络的完整功能”。

主要目标国家包括美国、英国、日本、德国、意大利、法国、西班牙、墨西哥和巴西。

Emotet相关的活动最后一次被观察到是在2022年7月，尽管从那时起就有零星感染的报告。10月中旬，ESET透露Emotet可能正在为新一波攻击做好准备，指出其“系统信息”模块的更新。

这种恶意软件被认为是一个名为“木乃伊蜘蛛”(又名Gold Crestwood或TA542)的威胁行为者，在2021年1月的一次协调执法行动中，其基础设施被拆除，去年年底又卷土重来。

欧洲刑警组织称Emotet为“世界上最危险的恶意软件”，因为它能够充当“计算机系统的主要开门器”，部署下一阶段的二进制文件，以方便数据盗窃和勒索软件。它始于2014年，最初是一个银行木马，后来演变成僵尸网络。

已知涉及恶意软件的感染链使用了通用诱饵以及电子邮件线程劫持技术，引诱收件人打开启用宏的Excel附件。

Cisco Talos本月早些时候表示：“继微软最近宣布将开始禁用从互联网下载的Office文档中的默认宏之后，许多恶意软件家族已经开始从Office宏迁移到ISO和LNK文件等其他传递机制”。

“因此，有趣的是，Emotet的这一新活动使用了其通过基于电子邮件的网络钓鱼分发恶意Microsoft Office文档（maldocs）的旧方法。

另一种方法促使潜在受害者将文件复制到Microsoft Office模板位置；可信位置；并从那里启动诱饵文档，而不必显式启用宏来激活击杀链。

更新的活动还伴随着Emotet加载器组件的更改，使用Windows Timer Queue API重新实现C2通信，添加新命令，并更新打包器以抵抗反向工程。

通过Emotet分发的后续有效载荷之一是IcedID加载器的一个全新变体，它接收读取文件内容并将其发送到远程服务器的命令，此外还执行其他后门指令，允许其提取web浏览器数据。

研究人员指出，IcedID的使用令人担忧，因为它很可能是勒索软件的前兆。Palo Alto Networks Unit 42称，另一个通过Emotet投放的恶意软件是Bumblebee。

研究人员Pim Trourbach和Axel F表示：“总体而言，对客户端进行的这些修改表明，开发人员正在试图阻止研究人员，并减少僵尸网络中存在的假冒或圈养机器人的数量”。

“自2021以来，当观察到Emotet在分发The Trick和Qbot时，它还没有展示出完整的功能和一致的后续有效载荷交付（这不是Cobalt Strike）”。