Emotet在全球范围内通过大型垃圾邮件活动复活

在重新激活其命令和控制（C2）服务器后不到一个月，Emotet僵尸网络已经开始向全球各国发送垃圾邮件。

周一早上针对德国，英国，波兰和意大利发现了带有Emotet签名的恶意电子邮件。垃圾邮件活动也袭击了美国，针对个人，企业和政府实体。

Emotet运动由数字组成

研究人员在6月初注意到，Emotet的C2服务器已经沉默，不再向受感染的机器发送指令。不活动一直持续到8月22日，当时基础设施开始再次唤醒，服务器开始响应请求。

从那时起，看起来运营商做了必要的准备工作，通过清理伪机器人，组建新的活动，建立分销渠道（受到破坏的网站，黑客网站，设置网络外壳）来重新启动僵尸网络活动，因为Emotet来到今天的生活，并开始再次喷出垃圾邮件。

在此活动中，一些被分发以分发Emotet有效载荷的网站是：

• customernoble.com - 一家清洁公司

• taxolabs.com

• www.mutlukadinlarakademisi.com - 土耳其女性博客

• www.holyurbanhotel.com

• keikomimura.com

• charosjewellery.co.uk

• think1.com

• broadpeakdefense.com

• lecairtravels.com

• www.biyunhui.com

• nautcoins.com

  
  

Emotet开始表现强势，来自电子邮件安全公司Cofense Labs的安全研究人员  告诉BleepingComputer，Emotet现在针对来自385个独特顶级域名（TLD）的超过30,000个域名的66,000个独特电子邮件。

至于恶意电子邮件的来源，Cofense告诉我们，他们来自3,362名不同的发件人，他们的凭据被盗。独特域名总数达到1,875，覆盖400多个顶级域名。

Cofense进一步指出，虽然某些广告系列可能会使用预定义目标类别中的发件人列表，但大多数广告系列都没有定义目标。 

“从家庭用户一直到政府拥有的域名。发件人列表包含与目标相同的分散。很多时候我们看到使用发件人的精确定位，联系人列表似乎已被删除并用作目标列表发件人。这将包括b2b以及gov to gov。“ - Cofense

一开始没有关于有效载荷的明确答案，只有未经证实的报道称，一些美国主机收到了Trickbot，一种银行木马变成恶意软件滴管，作为Emotet的第二次感染。

安全研究人员James_inthe_box和Brad Duncan 后来证实了这一点  ，他分析了感染流量。

对于感染了Trickbot且未检测到感染的用户，他们很可能会在以后感染Ryuk勒索软件。

Emotet欺骗电子邮件

根据Cofense和JamesWT分享的当前观察和垃圾邮件，Emotet今天的活动主要依赖于具有金融主题的电子邮件，并且似乎是对看似以前的对话的回复。用以下英文信息注意到了这一点：

波兰和意大利用户收到了类似的消息，敦促他们看看导致一些问题的法案：

在可能是德国收件人的邮件中，发件人声称某些文档存在问题，并要求收件人查看：

上面的所有消息看起来都像对先前对话的回复，或回复链消息，这可能使潜在的受害者更容易检查问题。

然而，非回复链消息也是活动的一部分。其中一个由Cofense与我们分享的人被视为在美国的政府组织提交检查文件的请求。网络犯罪分子似乎故意隐瞒细节，最有可能诱使受害者打开附件。

目前还不清楚回复链方法是仅用于政府还是商业部门，但是另一个非回复链的例子是针对讲德语的收件人。

诱惑仍然是一份财务文件，似乎是引起好奇心的流行方法。

通过恶意Word文档安装Emotet

BleepingComputer看到的一封电子邮件包含一个带有恶意宏代码的Word文档，默认情况下Microsoft Office套件禁用该文件，专门用于保护用户免受此类滥用。

为了解决这个问题，该文档提供了一条消息，提示潜在受害者使宏内容能够接受Microsoft许可协议，否则他们的Word软件副本将无法在9月20日之后运行。

但是，这个技巧可能适用于许多用户，因为骗子通过添加Microsoft徽标使消息看起来真实。

您可以在下面看到在受害者的计算机上安装Emotet的部分恶意宏。在撰写本文 时，70个防病毒引擎中有16个在VirusTotal扫描平台上检测到以这种方式丢弃的恶意软件。

在意大利电子邮件的情况下，宏运行PowerShell命令，该命令包含几个被黑网站的URL以从中检索有效负载。像往常一样，它以混淆的形式出现，但与以前的活动没有太大的不同; 解码并呈现以下命令是微不足道的：

从今天早上开始观察到的新的Emotet活动清楚地表明僵尸网络再次为商业做好了准备。美国东部时间上午4点，Cofense Labs在Twitter  上发布了僵尸网络恢复运营的消息。

几分钟后，SpamHaus项目，一个跟踪全球垃圾邮件相关活动的组织宣布  Emotet“完全恢复行动”并提供了一个示例电子邮件，表明波兰的收件人。

来自Cryptolaemus研究小组的安全专家在一段时间后发现了一系列受到破坏的域名和包含用于有效负载传递的恶意宏的文档模板。

通过这些Emotet活动提供的多个Word文档已被提供给自动分析平台AnyRun，并且它们显示相同的模板用于今天的操作。可在此处，此处和此处获得分析。

0点文章更新了新信息，确认Trickbot是Emotet感染的有效载荷。

转发是对我们最大的鼓励

                                                                                            点个在看吧↓