【安全资讯】Emotet木马通过恶意Excel文件传播
引言
Emotet是一种活跃的银行木马,于2014年首次被发现,近年来非常活跃。2021年1月,执法和司法机构关闭了Emotet僵尸网络基础设施,但Emotet于2021年11月回归,此后一直保持活跃。2021年12月底,研究人员发现了Emotet木马的新感染方式,该木马现在正通过恶意Excel文件传播。
简况
在某些情况下,Emotet使用受密码保护的 .ZIP 存档作为其电子邮件的附件。其他情况下,Emotet 使用直接附加到电子邮件的 Excel 电子表格。
Emotet僵尸网络于1月27日发送的一封电子邮件实例如下,这封电子邮件使用了向“有价值的供应商”预示“新公告”的诱饵,并包含一个加密的 .ZIP 文件:
加密的 zip 文件包含一个带有 Excel 4.0 宏的 Excel 文档。这些宏是旧的 Excel 功能,经常被恶意行为者滥用。在激活恶意内容之前,受害者必须在易受攻击的Windows主机上启用宏。启用后,宏代码会执行cmd.exe以运行mshta.exe,以检索和执行远程 HTML 应用程序,该应用程序下载并执行额外的 PowerShell 代码。
初始混淆 PowerShell 脚本连接到hxxp://91.240.118[.]168/se/s.png。此 URL 返回用于检索 Emotet 二进制文件的第二阶段 PowerShell 代码集的基于文本的脚本。第二阶段 PowerShell 代码包含 14 个 URL,用于检索 Emotet 二进制文件。Emotet DLL 从其资源部分加载加密的 PE,作为此攻击链的最后阶段。
结论
Emotet 是一个高度活跃的恶意软件家族,经常改变其感染方法,从而规避检测。
失陷指标(IOC)16
这么重要的IOC情报,赶紧
登录
来看看吧~
0条评论
看了这么久,请
登录
,对他说点啥~
1
0
分享
微信扫一扫分享