銷(xiāo)聲匿跡大約4個(gè)月后，老牌惡意軟件 Emotet 卷土重來(lái)。安全公司 Proofpoint 表示，自 2022 年 11 月初以來(lái)，Emotet再度回歸電子郵件攻擊領(lǐng)域，每天發(fā)送數(shù)十萬(wàn)封釣魚(yú)郵件，成為所觀察到的數(shù)量最多的攻擊者之一。

據(jù)悉，Emotet上一次活躍的時(shí)間是在2022年7月，此次新的活動(dòng)跡象表明，Emotet正在恢復(fù)其作為主要惡意軟件系列的全部功能。這一次，它們的主要目標(biāo)區(qū)域包括美國(guó)、英國(guó)、日本、德國(guó)、意大利、法國(guó)、西班牙、墨西哥和巴西。

在這次新一輪的攻擊活動(dòng)中，Emotet發(fā)送的釣魚(yú)郵件通常包含了 Excel 附件或受密碼保護(hù)的 zip 附件，其中亦包含 Excel 文件。Excel 文件包含 XL4 宏，可從多個(gè)內(nèi)置 URL 下載 Emotet 負(fù)載。但由于最近微軟宣布開(kāi)始默認(rèn)禁用從互聯(lián)網(wǎng)下載的Office文檔中的宏，許多惡意軟件已經(jīng)開(kāi)始從Office宏遷移到其他傳遞機(jī)制，如ISO和LNK文件。

雖然 Emotet 采用了舊方法，但仍通過(guò)另一種方式，即誘使受害者將文件復(fù)制到 Microsoft Office一個(gè)受信任的位置，在此處打卡文件將立即執(zhí)行宏，且不會(huì)發(fā)出任何警告。但在將文件移動(dòng)到受信任的位置時(shí)，操作系統(tǒng)會(huì)要求用戶(hù)擁有管理員權(quán)限才能進(jìn)行此類(lèi)移動(dòng)。

雖然總體活動(dòng)與7月份的類(lèi)似，但此次Emotet依然進(jìn)行了不少更新，包括加載程序組件的更改、新命令的添加、更新打包程序以抵抗逆向工程。值得注意的是，Emotet的有效載荷——IcedID加載程序采用了全新的變體，不僅能接收命令以讀取文件內(nèi)容，將文件內(nèi)容發(fā)送到遠(yuǎn)程服務(wù)器，還能執(zhí)行其他后門(mén)指令以提取 Web 瀏覽器數(shù)據(jù)。研究人員對(duì)全新的IcedID感到擔(dān)憂(yōu)，因?yàn)樗赡苁菫槔账鞴糇鲣亯|。

Emotet曾是自2014年至今全球規(guī)模最大的惡意軟件系列之一。2021年1月，Emotet僵尸網(wǎng)絡(luò)被執(zhí)法部門(mén)取締，并于4月25日下發(fā)“自毀模塊”后被徹底搗毀，C2服務(wù)器一度接近癱瘓。2021年11月，Emotet死灰復(fù)燃，開(kāi)始間斷性地進(jìn)行活動(dòng)。