EMOTET银行木马再披新伪装,搭载斯诺登最新著作《Permanent Record》
近日,安全研究人员发现恶名昭彰的EMOTET银行木马又有新动作,继“多语种版本”后,此次攻击又披上了新的伪装,竟利用前美国中央情报局职员爱德华·斯诺登(Edward Snowden)的热门回忆录来进行快速传播。
【豆瓣读书截图】
此次攻击不法分子会在邮件中寄送与该回忆录同名的Word附件“Permanent Record(永久记录)”,诱骗受害者打开夹带EMOTET病毒的恶意文件。
根据安全研究人员透露,一旦受害者开启文件,就会跳出假信息来要求启用MicrosoftWord。点击启用按钮后,恶意宏就会在后台执行。接着它会触发一个PowerShell命令来连上一个被入侵的WordPress网站。再将EMOTET及其他恶意软件(如Trickbot)下载到受害者的电脑上,同时连到命令与控制(C&C)服务器。
EMOTET银行木马最早可以追溯到2014年,其主要使用网络嗅探技术窃取数据。在之后的几年里,该木马表现得并不活跃且慢慢开始淡出人们的视线。然而,2017年8月份EMOTET又“卷土重来”,亚信安全截获了多个变种,这些变种主要攻击美国、英国和加拿大等国家。此后,EMOTET一直处于活跃阶段,利用自己的垃圾邮件模块来散播到全世界不同的产业和地区,并且还会利用沙盒及分析躲避技术。节前,亚信安全还截获了EMOTET银行木马“多语种版本”。
相关阅读:【预警】EMOTET银行木马曝新变种,“多语种”版本突袭欧洲诸国
安全专家在去年发表的一份全面性报告里研究了EMOTET的运作方式,发现其僵尸网络背后至少有两个并行运行的基础设施,同时可能在进行恶意活动时采用多层次的操作机制。
该恶意软件家族以不断发展垃圾邮件内容和扩散能力而著称。它不会止步于一台中毒电脑,而是会散播到连接网络的其他电脑上并进行横向散播。
此次的垃圾邮件活动利用社交工程来诱骗,让使用者认为自己在下载免费的热门电子书,结果却感染了EMOTET恶意软件。以下措施可以帮你降低遭受社交工程攻击的风险:
将信任的网站加入书签,确保自己连到正确的网站。
不要点击电子邮件内所提供的网站链接,尤其是来自未知或不熟悉来源的网站链接。
不要轻易被威胁,不法分子期望你会因为威胁而动摇。
安装有效的安全解决方案保护系统和数据。
以下是企业、组织可以采取的一些措施,以防御EMOTET及随之而来的其他威胁:
定期修补和更新(或使用虚拟修补)。
EMOTET是模块化的恶意下载程序,可以部署攻击漏洞的其他类型威胁。更新和修补系统、网络和服务器软件能够消除这些漏洞。
保护电子邮件网关。
EMOTET的主要攻击媒介是垃圾邮件,它会利用社交工程散播。建议养成7个防止网络钓鱼的安全习惯
强制执行最小权限原则。
EMOTET会将合法工具(如PowerShell)利用成为攻击链的一部分。停用、限制或防护系统管理工具可以将它们遭受滥用的威胁降到最低。
主动监视组织的在线基础构架。
对企业、组织而言,多层次安全防护有助于抵御EMOTET。防火墙和入侵侦测与防御系统能够侦测和封锁可疑流量或恶意网络活动。应用程序控制和行为监控可以封锁异常执行文件或恶意软件相关程序的执行,而网址过滤可以封锁可能包含恶意软件的恶意网址和网站。
行业热点:
【预警】EMOTET银行木马曝新变种,“多语种”版本突袭欧洲诸国
了解亚信安全,请点击“阅读原文”