Emotet恶意软件在新的攻击波中调整战术

Emotet Trojan是金融机构和普通个人的荆棘，它以新技术和攻击高潮重新回归。

根据Menlo Security的研究人员的说法，自2019年1月中旬以来，Emotet已经被用于快速的活动中，这些活动已经发展到更多的系统。

Emotet最早于2014年被发现，现在被认为是现存最具破坏性和最阴险的金融特洛伊木马之一。

一旦被称为个人，自我传播的特洛伊木马几乎没有推荐自己，恶意软件背后的威胁演员，被称为Mealybug，近年来已经创建了基于特洛伊木马的恶意软件即服务业务 - 转移恶意软件到其他网络攻击者可用的威胁分发平台。

模块化Emotet软件现在通常充当其他恶意负载的分发和打包系统，但也能够强制计算机系统，在受攻击的帐户中生成商业电子邮件妥协(BEC)消息，用于垃圾邮件活动，创建后门，并窃取财务数据。

近年来，在野外观察到Emotet部署了IcedID银行木马，Trickybot，Ransom.UmbreCrypt和Panda Banker。

2018年US-CERT安全公告被称为Emotet，是“影响州，地方，部落和地区(SLTT)政府以及私营和公共部门的最昂贵和破坏性的恶意软件之一。”

趋势科技研究人员在11月警告说，Emotet现在利用双基础设施和各种命令和控制(C2)服务器来更好地保护自己免受删除尝试。

在最近的活动中，Menlo Security表示，包含Emotet的恶意文档正在通过托管在威胁行为者拥有的基础设施上的URL以及传统的垃圾邮件附件进行分发。

虽然采样的恶意文档中有20%是包含嵌入式宏的Word文档，而Emotet是典型的，但其他80%似乎是扩展名为.doc的Word文档 - 但实际上是XML文件。

研究人员表示，这种扭曲的出现是为了避免检测和沙箱设置，安全团队经常使用它来反向设计恶意软件代码。

“这种技术可能用于逃避沙箱，因为沙箱通常使用真正的文件类型而不是扩展来识别应用程序，它们需要在沙箱内运行，”Menlo Security说。“虽然真正的文件类型是XML，但它仍然在端点的Microsoft Word中打开，从而提示用户启用恶意嵌入式宏。”

总体而言，标准防病毒软件也无法将整个样本的10%识别为恶意。

研究人员表示，在一些文档中，查看宏的内容被禁用，VBA项目 - 在Excel中创建 - 被锁定，团队认为这可能是“阻挠对宏内容的分析”。

“在过去，我们已经看到Emotet是通过常规的宏出版Word文档传递的，但这种将XML文档伪装成Word文档的技术似乎是最近在传递技术上的一种变化，”Menlo说。“随着Emotet威胁演员战术的不断变化，我们预计这一战役将继续发展并变得更加复杂。”

该公司补充称，Emotet去年成为其最佳银行特洛伊木马名单，预计该恶意软件将在整个2019年保持其地位。

周三，Cyber​​eason的Nocturnus研究小组讨论了Astaroth木马的新发展，其恶意软件已被授权滥用合法防病毒软件中的进程来窃取个人和敏感数据。