Emotetマルウェアがアクティブなキャンペーンに戻ってきました, セキュリティ研究者は警告した. どうやら, マルウェアは、金融機関から送信されたふりをするスパムメッセージのドキュメントに隠れています, または従業員への感謝祭の挨拶になりすました.
Emotetについて最後に書いたのは1年前です, 十一月に 2017, バンキング型トロイの木馬が更新され、セキュリティコミュニティに深刻な懸念を引き起こした危険なコンポーネントが含まれるようになったとき – 安全な接続でもデータを抽出する.
最も一般的な感染方法を使用してファイルを簡単に送信できます. 新たに報告された攻撃は、もう一度 [wplinkpreview url =”https://Sensorstechforum.com/emotet-trojan-affects-internal-networks/”]Emotet 依然として最も人気のあるペイロードの1つ, そして、そのオペレーターは常に新しい感染方法を探しています.
Emotetの新しいフィッシング機能
Emotetマルウェアは今年10月末にアクティブになりました. それは、電子メールの件名と16KBの電子メール本文を盗み出した新しいプラグインが検出されたときです。. この機能は現在、フィッシングテンプレートを改善するために使用されています.
感謝祭のフィッシング詐欺
Forcepointの研究者 検出されました 「陽気な感謝祭の言葉」を含む、慎重に作成されたメール. 報告されたように, このメールの量は 27,000 その間の期間に 07.30 ESTおよび 17:00 1日でEST. これはメール本文の内容です:
やあ,
感謝のこの季節に, 私たちはあなたに特に感謝しています, 私たちの会社の成功を築き、創造するために一生懸命働いてきた人たち. あなたとあなたの家族が祝福に満ちた感謝祭を願っています.
下記の感謝祭カード.
電子メールのドキュメントは、実際には.docファイルを装ったXMLファイルでした。. Emotetペイロード用のPowerShellダウンローダーにつながるマクロが埋め込まれていると予想されます. でも, 注意すべきこと:
この場合のドキュメントは、通常の.docまたは.docxではなく、.docを装ったXMLファイルです。, この場合のマクロはシェイプ機能を利用します, 最終的には、vbHideのWindowStyleを使用してシェル関数を呼び出すことになります。. シェル関数の構文はShellです。( パス名, [ ウィンドウスタイル ] ) ここで、パス名はプログラムまたはスクリプトにすることができます.
結果として得られる出力は、非常にわかりにくいコマンドです。. 難読化されたとき, このコマンドは、Emotetキャンペーンで日常的に観察されている標準のPowerShellダウンローダーを明らかにしました, 研究者は付け加えた.