几乎无处不在的银行***Emotet沉寂一段时间之后再度活跃,此次活跃与感恩节主题活动有关。

Forcepoint的研究人员发现,Emotet通过新的策略和模块升级了功能,增强了杀伤力。Emotet背后的犯罪分子利用全民准备欢度感恩节的时机,每天发送约27,000个邮件,邮件内容的措辞与以往欺骗金融界受害者的钓鱼邮件内容有所不同。

这些邮件内容字里行间洋溢着节日的氛围(如图),然后再附上感恩节卡片。所谓的节日卡片实际上是一个带有内嵌宏的文档,它导向用户至负载Emotet的PowerShell下载程序,此外,它还充当其他有效负载的下载器。一旦用户单击文档,***过程就会被启动。

研究人员还发现该文档不是在Emotet活动中常见的.doc或.docx,而是伪装成.doc的XML文件。他们引用的例子中的宏使用Shapes特性,最终调用了shell函数。其中的宏也由典型的Emotet模式中演化而来,升级了其混淆和格式。

当宏调用shell函数(使用vbHide的WindowStyle)时,输出了一个严重混淆的命令。在解码指令时,可以发现Emotet常用的的标准PowerShell下载程序。

“虽然此类活动并不新颖……但由于巨大的电子邮件发送量,它确实为防御者带来了挑战,因为他们需要迅速创建签名检测遏制汹涌的邮件大潮。”Forcepoint团队表示。

这项研究与Cofense 情报机构的研究结果有类似之处,该机构上周观察到充满表情符号的电子邮件席卷美国主流金融机构,从参与活动的Emotet表现中发现其升级了功能——盗窃联系人列表和签名块。

虽然这个模块升级的确切原因尚不清楚,但Cofense Intelligence评估它将用于支持参与者的社会工程工作,使用被盗数据来改进Geodo网络钓鱼模板,或者用于直接(非法)创造经济利益——将窃取的信息销售给出价最高的卖家。新模块的引入对社会工程工作的复杂度和影响力产生了显著的影响。