Emotet木马卷土重来，重启恶意活动

关键要点

Emotet，这款臭名昭著的木马，经过三个月的停滞后本周重新现身。它的具体目标是通过发送恶意电子邮件来渗透高价值的公司网络，然后将这种访问权限出售给勒索软件团伙。

这次，Emotet不同于仅仅发送，而是开始发送带有宏的Word文件。如果启用了宏，这些文件将开启感染链并执行Emotet.dll。

Deep Instinct的威胁研究团队在周五报告称，恶意邮件的第一页包含一张诱导收件人启用宏的图片。根据的观察，恶意邮件已发送给全球公司的，包括日本，团队于3月10日发布了其图像。

最初于2014年被设计为银行木马的Emotet，在两年后演变为多用途加载器。尽管该机器人网络的基础设施在2021年1月被拆除，但它通过基本上已不复存在的Conti组织的TrickBot恶意软件得以复活。在安全圈中，Emotet被称为MummySpider，也叫。

Deep Instinct的安全研究员SimonKenin解释认为，多年来，为一个感染计算机的机器人网络，能够加载操作者所决定的任何其他恶意软件，因此如今恶意垃圾邮件发送至企业电子邮件地址而不是家庭用户。

“当机器人网络的操作者发现高价值目标被感染时，他们可以将访问权限出售给勒索软件团伙，这将获得初步接入并尝试入侵整个网络。”Kenin说。“今天，相比于银行木马，勒索软件的投资回报率高得多。对于其他价值较低的目标，可以采用按安装付费的方式，操作者仅需批量加载其他网络罪犯的恶意软件。”

Deep Instinct报告称，初始攻击文件和最终有效载荷被人为膨胀到超过500兆字节，这一技术可以“显著降低”安全产品在执行前阻止文件的机会。

Kenin解释称，Emotet采用的这一技术可能导致某些供应商在扫描大文件时出现严重性能问题，或导致静态检测停止正常工作，从而漏掉这些文件。

“仅仅基于VirusTotal的初始检测，我们可以看到大多数供应商并未检测到这些文件，而他们需要进行一些调整才能开始正确检测。”Kenin说道。“我建议安全团队在实验环境中测试他们所使用的安全产品针对我们提供的样本，以更好地了解他们的保护措施。”

Cofense在中报告称，Emotet的恶意邮件活动于当天上午8点东部时间恢复。Cofense的研究人员表示，这些恶意邮件包含未加密的.zip文件作为附件。

Emotet上次出现在2022年11月和6月，Cofense的研究人员表示尚不清楚此次攻击持续多久。

Emotet的近期复苏，以及新增的模块和规避技术，表明该恶意软件正处于积极开发之中，Keeper