Bleeping Computer 網(wǎng)站披露，Emotet 惡意軟件以美國納稅人為目標(biāo)，冒充美國國稅局向受害者發(fā)送 W-9 納稅申報(bào)表，進(jìn)行釣魚活動。

Emotet 作為一款臭名昭著的惡意軟件，主要通過網(wǎng)絡(luò)釣魚電子郵件傳播，這些電子郵件包含帶有惡意宏的 Microsoft Word 和 Excel 文檔。在微軟默認(rèn)阻止下載的 Office 文檔中存在宏后，Emotet 轉(zhuǎn)而使用帶有嵌入式腳本的 Microsoft OneNote 文件來安裝 Emotet 惡意軟件。

據(jù)悉，一旦安裝了 Emotet，該惡意軟件便會竊取受害者的電子郵件，用于未來的回復(fù)鏈攻擊，發(fā)送更多的垃圾郵件，并安裝其它惡意軟件，為勒索軟件團(tuán)伙等其它威脅郭建者提供初始訪問權(quán)限。

Emotet 為美國稅收做好了“準(zhǔn)備”

Emotet 惡意軟件通常使用“主題式”釣魚活動，以搭上假期和年度商業(yè)活動的便車，例如當(dāng)前的美國納稅季。在 Malwarebytes 和 Palo Alto Networks Unit42 安全研究人員觀察到的新網(wǎng)絡(luò)釣魚活動中，Emotet 惡意軟件以納稅人為目標(biāo)，發(fā)送附有虛假 W-9 納稅表附件的電子郵件。

Malwarebytes 研究人員發(fā)現(xiàn)，威脅攻擊者冒充美國國稅局的“檢查員”，發(fā)送標(biāo)題為“美國國稅局納稅申報(bào)表 W-9”的電子郵件。

在這些釣魚電子郵件中有一個名為“W-9 form.ZIP”的 ZIP 存檔，其中包含了一個惡意的 Word 文檔。此Word 文檔已“膨脹”到 500MB 以上，使安全軟件更難檢測到它是惡意的。

冒充國稅局的 Emotet 電子郵件（來源： Malwarebytes）

目前，微軟默認(rèn)阻止宏，用戶不太可能遇到啟用宏的麻煩，也不太可能使用惡意 Word 文檔感染宏。

Emotet Word 文檔（來源： BleepingComputer）

在 Unit42 Brad Duncan 觀察到的 Emotet 網(wǎng)絡(luò)釣魚活動中，攻擊者通過使用帶有嵌入 VBScript 文件的Microsoft OneNote 文檔來繞過這些限制，這些文件安裝了 Emotet 惡意軟件。

此外，網(wǎng)絡(luò)釣魚活動使用回復(fù)鏈電子郵件，其中包含假裝來自向用戶發(fā)送 W-9 表格的業(yè)務(wù)合作伙伴的電子郵件，如下所示：

帶有惡意的微軟 OneNote 附件的 Emotet 回復(fù)鏈電子郵件（來源：Unit42）

所附的 OneNote 文件將假裝受到保護(hù)，要求用戶雙擊 "查看 "按鈕，查看文件。但是，隱藏在 "查看 "按鈕下面的是一個 VBScript 文檔，它將被同步啟動。

冒充 W-9 表格的惡意微軟 OneNote 文件（資料來源：BleepingComputer：）

在啟動嵌入式 VBScript 文件時，微軟 OneNote 會警告用戶該文件可能是惡意的。不幸的是，“歷史經(jīng)驗(yàn)”告訴我們，許多用戶無視這些警告，只是讓文件運(yùn)行。

一旦執(zhí)行，VBScript 將下載 Emotet DLL 并使用 regsvr32.exe 運(yùn)行它。此后，該惡意軟件現(xiàn)在將悄悄地在后臺運(yùn)行，竊取電子郵件、聯(lián)系人，并等待進(jìn)一步的有效載荷安裝到設(shè)備上。

最后提醒用戶，如果收到任何聲稱是 W-9 或其他稅表的電子郵件，首先應(yīng)使用本地殺毒軟件掃描這些文件。