【安全资讯】Emotet木马通过恶意Excel文件传播

引言

Emotet是一种活跃的银行木马，于2014年首次被发现，近年来非常活跃。2021年1月，执法和司法机构关闭了Emotet僵尸网络基础设施，但Emotet于2021年11月回归，此后一直保持活跃。2021年12月底，研究人员发现了Emotet木马的新感染方式，该木马现在正通过恶意Excel文件传播。

简况

在某些情况下，Emotet使用受密码保护的 .ZIP 存档作为其电子邮件的附件。其他情况下，Emotet 使用直接附加到电子邮件的 Excel 电子表格。

Emotet僵尸网络于1月27日发送的一封电子邮件实例如下，这封电子邮件使用了向“有价值的供应商”预示“新公告”的诱饵，并包含一个加密的 .ZIP 文件：

加密的 zip 文件包含一个带有 Excel 4.0 宏的 Excel 文档。这些宏是旧的 Excel 功能，经常被恶意行为者滥用。在激活恶意内容之前，受害者必须在易受攻击的Windows主机上启用宏。启用后，宏代码会执行cmd.exe以运行mshta.exe，以检索和执行远程 HTML 应用程序，该应用程序下载并执行额外的 PowerShell 代码。

初始混淆 PowerShell 脚本连接到hxxp://91.240.118[.]168/se/s.png。此 URL 返回用于检索 Emotet 二进制文件的第二阶段 PowerShell 代码集的基于文本的脚本。第二阶段 PowerShell 代码包含 14 个 URL，用于检索 Emotet 二进制文件。Emotet DLL 从其资源部分加载加密的 PE，作为此攻击链的最后阶段。

结论

Emotet 是一个高度活跃的恶意软件家族，经常改变其感染方法，从而规避检测。