研究人员警告说,可怕的TrojanEmotet在中断五个月后又回来了,开始了一场激烈的新恶意软件分发活动。来自追踪Emotet的组织Cryptolaemus的研究人员在11月2日凌晨观察到威胁行为者突然活跃起来,并在全球范围内通过网络钓鱼电子邮件向垃圾邮件地址发送垃圾邮件。

Emotet僵尸网络以复仇的方式卷土重来

“看起来伊万又需要一些现金,所以他回去工作了。留意直接附加的XLS文件以及压缩和受密码保护的XLS,”该组织在Twitter线程中警告说(在新标签中打开).

威胁者劫持现有的电子邮件链,使用回复功能分发文档。不过,该技巧的工作方式有一些显着的变化,因为微软最近默认禁用了宏,并要求管理员专门允许该功能运行。

此外,Windows现在为从Internet下载的所有文件添加了Mark-of-the-Web(MoTW)标志。打开时,MoTW标记的文件将显示一条消息,说明它们是从不安全的位置下载的,并且只能在受保护的视图中打开,以防止用户意外运行恶意宏。

这促使犯罪分子在文件中添加特定消息,模仿Excel的安全警告(内容上方的黄色水平条)并说,为了运行该文件,需要将其放置在Office的Templates文件夹中。

从Templates文件夹运行的所有文件都会自动运行宏。事实上,将文件添加到该特定文件夹并不容易,因为Windows需要管理员权限,但很有可能-许多受害者会忽略这些明显的危险信号。

到目前为止,Emotet在受感染的端点上处于休眠状态(在新标签中打开),因此研究人员无法确定它用于哪种活动。过去,Emotet被用来丢弃CobaltStrike信标、TrickBot恶意软件等。