Emotet 僵尸网络每天攻击数 10 万个邮箱

经过将近两个月的休整之后,Emotet僵尸网络复苏,并开展了每天数十万个网络攻击活动。

Emotet僵尸网络于2014年以银行木马的身份诞生,并发展成提供全方位服务的威胁传递机制。它可在受害者计算机上安装一系列包括信息窃取者、电子邮件收集器、自我传播机制等恶意软件。该僵尸网络最近一次出现是在10月份,目标群体是民主党全国委员会(DNC)志愿者。五个月的中断之后,它在7月重新活跃,并丢弃了Trickbot木马。2月份的一次竞选活动中,有人发现了来自受害者银行的短信

Cofense研究人员布拉德·哈斯(Brad Haas)在星期二的博客中说:“Emotet僵尸网络后是恶意电子邮件活动最多的发件人之一,但通常一次休眠数周或数月。” “今年,这种中断从2月持续到7月中旬,这是Cofense在过去几年中看到的最长的中断。从那以后,他们观察到整个十月底的Emotet僵尸网络活动正常,直到今天都没有新的案例。”

研究人员说,僵尸网络在有效载荷方面也始终如一。在十月份,最常见的辅助负载是TrickBot、Qakbot和ZLoader,而今天我们观察到的是TrickBot。

TrickBot恶意软件是众所周知的复杂木马,于2016年作为银行恶意软件首次开发,与Emotet一样,它具有自我转换和添加新功能 以 逃避检测 或增强其感染能力的历史。感染了TrickBot木马的用户的设备将成为僵尸网络的一部分,黑客可使用该僵尸网络加载第二阶段的恶意软件,研究人员称其为“几乎所有其他恶意软件有效负载的理想丢弃程序”。TrickBot感染的典型后果是银行帐户被接管、高额电汇欺诈和勒索软件攻击。它最近实现了旨在检查目标系统的UEFI / BIOS固件的功能。微软和其他公司于10月对恶意软件的基础架构进行拆除之后,该恶意软件却严重复苏。

Proofpoint在Twitter上指出: “我们看到了相关英文、德文、西班牙文、意大利文并受密码保护的zip和URL的线程劫持的带有Word附件的诱饵。”

Proofpoint威胁研究高级主管Sherrod DeGrippo说:“我们的团队仍在审核新样品,到目前为止,我们只发现了微小的变化。例如,Emotet二进制文件现在被用作DLL而不是.exe。当Emotet运行时,我们每天会观察到数十万封电子邮件。”她指出:“我们通常会看到Emotet在12月24日至1月初停止运营。如果他们继续这种模式,那么最近的活动对他们来说将是短暂而罕见的。”

研究人员同时指出,“黑客在不同的网络诱饵之间交替变化,以使社会工程学用户能够使用包括COVID-19主题的宏。尽管缺乏重大发展,该恶意软件的复兴仍应引起人们的注意。”

鉴于今年的严峻形势,安全人员建议相关组织和个人应提高警惕,并继续采取相关保护措施。

 

 

 

 

消息及封面来源:Threat Post译者:江。

本文由 HackerNews.cc 翻译整理。

转载请注明“转自 HackerNews.cc ” 

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论