Emotet Trojan是金融機(jī)構(gòu)和普通個(gè)人的荊棘，它以新技術(shù)和攻擊高潮重新回歸。

根據(jù)Menlo Security的研究人員的說法，自2019年1月中旬以來，Emotet已經(jīng)被用于快速的活動(dòng)中，這些活動(dòng)已經(jīng)發(fā)展到更多的系統(tǒng)。

Emotet最早于2014年被發(fā)現(xiàn)，現(xiàn)在被認(rèn)為是現(xiàn)存最具破壞性和最陰險(xiǎn)的金融特洛伊木馬之一。

一旦被稱為個(gè)人，自我傳播的特洛伊木馬幾乎沒有推薦自己，惡意軟件背后的威脅演員，被稱為Mealybug，近年來已經(jīng)創(chuàng)建了基于特洛伊木馬的惡意軟件即服務(wù)業(yè)務(wù) - 轉(zhuǎn)移惡意軟件到其他網(wǎng)絡(luò)攻擊者可用的威脅分發(fā)平臺(tái)。

模塊化Emotet軟件現(xiàn)在通常充當(dāng)其他惡意負(fù)載的分發(fā)和打包系統(tǒng)，但也能夠強(qiáng)制計(jì)算機(jī)系統(tǒng)，在受攻擊的帳戶中生成商業(yè)電子郵件妥協(xié)(BEC)消息，用于垃圾郵件活動(dòng)，創(chuàng)建后門，并竊取財(cái)務(wù)數(shù)據(jù)。

近年來，在野外觀察到Emotet部署了IcedID銀行木馬，Trickybot，Ransom.UmbreCrypt和Panda Banker。

2018年US-CERT安全公告被稱為Emotet，是“影響州，地方，部落和地區(qū)(SLTT)政府以及私營(yíng)和公共部門的最昂貴和破壞性的惡意軟件之一。”

趨勢(shì)科技研究人員在11月警告說，Emotet現(xiàn)在利用雙基礎(chǔ)設(shè)施和各種命令和控制(C2)服務(wù)器來更好地保護(hù)自己免受刪除嘗試。

在最近的活動(dòng)中，Menlo Security表示，包含Emotet的惡意文檔正在通過托管在威脅行為者擁有的基礎(chǔ)設(shè)施上的URL以及傳統(tǒng)的垃圾郵件附件進(jìn)行分發(fā)。

雖然采樣的惡意文檔中有20%是包含嵌入式宏的Word文檔，而Emotet是典型的，但其他80%似乎是擴(kuò)展名為.doc的Word文檔 - 但實(shí)際上是XML文件。

研究人員表示，這種扭曲的出現(xiàn)是為了避免檢測(cè)和沙箱設(shè)置，安全團(tuán)隊(duì)經(jīng)常使用它來反向設(shè)計(jì)惡意軟件代碼。

“這種技術(shù)可能用于逃避沙箱，因?yàn)樯诚渫ǔＪ褂谜嬲奈募愋投皇菙U(kuò)展來識(shí)別應(yīng)用程序，它們需要在沙箱內(nèi)運(yùn)行，”Menlo Security說。“雖然真正的文件類型是XML，但它仍然在端點(diǎn)的Microsoft Word中打開，從而提示用戶啟用惡意嵌入式宏。”

總體而言，標(biāo)準(zhǔn)防病毒軟件也無法將整個(gè)樣本的10%識(shí)別為惡意。

研究人員表示，在一些文檔中，查看宏的內(nèi)容被禁用，VBA項(xiàng)目 - 在Excel中創(chuàng)建 - 被鎖定，團(tuán)隊(duì)認(rèn)為這可能是“阻撓對(duì)宏內(nèi)容的分析”。

“在過去，我們已經(jīng)看到Emotet是通過常規(guī)的宏出版Word文檔傳遞的，但這種將XML文檔偽裝成Word文檔的技術(shù)似乎是最近在傳遞技術(shù)上的一種變化，”Menlo說。“隨著Emotet威脅演員戰(zhàn)術(shù)的不斷變化，我們預(yù)計(jì)這一戰(zhàn)役將繼續(xù)發(fā)展并變得更加復(fù)雜。”

該公司補(bǔ)充稱，Emotet去年成為其最佳銀行特洛伊木馬名單，預(yù)計(jì)該惡意軟件將在整個(gè)2019年保持其地位。

周三，Cyber??eason的Nocturnus研究小組討論了Astaroth木馬的新發(fā)展，其惡意軟件已被授權(quán)濫用合法防病毒軟件中的進(jìn)程來竊取個(gè)人和敏感數(shù)據(jù)。