Emotet Botnet分发自解锁密码保护的RAR文件以删除恶意软件

臭名昭著的Emotet僵尸网络与新一波恶意垃圾邮件活动有关，这些活动利用受密码保护的存档文件将CoinMiner和Quasar RAT丢弃在受损系统上。

在Trustwave SpiderLabs研究人员检测到的一个攻击链中，一个以发票为主题的ZIP文件诱饵被发现包含一个嵌套的自提取（SFX）存档，第一个存档充当启动第二个存档的管道。

虽然传统上，此类网络钓鱼攻击需要说服目标打开附件，但这家网络安全公司表示，该活动利用批处理文件自动提供密码以解锁有效载荷，从而避开了这一障碍。

第一个SFX存档文件进一步利用PDF或Excel图标使其看起来合法，而实际上，它包含三个组件：受密码保护的第二个SFX RAR文件、启动存档的前述批处理脚本，以及假PDF或图像。

研究人员伯纳德·鲍蒂斯塔（Bernard Bautista）和戴安娜·洛佩拉（Diana Lopera）在周四的一篇报道中表示：“批处理文件的执行导致了隐藏在密码保护的RARsfx（自解压RAR档案）中的恶意软件的安装”。

批处理脚本通过指定归档文件的密码和有效负载将提取到的目标文件夹来实现这一点，此外，还可以启动一个命令来显示引诱文档，以试图隐藏恶意活动。

最后，感染的高潮是CoinMiner（一种加密货币挖矿者，也可以充当凭证窃取者）或Quasar RAT（一种基于.NET的开源远程访问木马）的执行，具体取决于存档中的有效负载。

一键攻击技术也值得注意，因为它有效地跳过了密码屏障，使恶意行为者能够执行各种各样的操作，如密码劫持、数据过滤和勒索软件。

Trustwave表示，它已经发现了打包在受密码保护的ZIP文件中的威胁有所增加，其中约96%由Emotet僵尸网络分发。

研究人员表示：“自解压存档已经存在了很长一段时间，并简化了最终用户之间的文件分发”。“但是，由于文件内容不易验证，而且它可以无提示地运行命令和可执行文件，因此会带来安全风险”。