Emotet利用对冠状病毒的恐慌在日本进行大规模传播活动

 

0x00 前言

Emotet恶意软件背后的攻击者利用人们对新型冠状病毒(2019-nCoV)的恐慌诱引更多日本人被卷入这起垃圾邮件活动。

 

0x01 发现

过去的一个月中,起源于中国武汉的2019-nCoV病毒,仅在中国就造成了数百人死亡和数千例确诊病例。该病毒已经传播到邻国,并且在德国,加拿大和美国等相距甚远的地区也产生了确诊病例,这已导致世界卫生组织宣布其成为全球紧急卫生事件。这里可以找到日本厚生劳动省针对疫情的政府报告。

IBM X-Force 报告称,冠状病毒垃圾邮件被伪装成由残疾人福利中心和公共卫生中心发送的正式通知,该电子邮件会告诉收件人此种病毒的迅速传播,并警示他们下载所谓的包含预防措施的附件。

像之前的几次传播活动一样,冠状病毒垃圾邮件也带有Word文档附件,文档中包含有关单击”启用内容”按钮以查看文档的说明。单击该按钮,将会使用PowerShell安装Emotet payload。

阅读:揭秘Emotet:探究Emotet的活动状况和基础结构

垃圾邮件中的页脚带有的详细信息,例如邮寄地址和联系电话等等,将会使其看起来更加合法。

此次传播是继以前Emotet垃圾邮件大规模传播之后的活动,其一般利用知名人物事件或者圣诞节等节日,进行爆炸式恶意电子邮件传播。

感染了Emotet恶意软件的设备可以被部署勒索软件。该恶意软件还可以窃取用户凭据,浏览器历史记录和敏感文档。然后,其利用收集到的数据将垃圾邮件发送到其他电子邮件帐户。

在2014年趋势科技发现Emotet:TrojanSpy.Win32.EMOTET.THIBEAI。当时,Emotet被称为银行恶意软件,它通过嗅探网络活动来窃取数据。 多年来,恶意软件已经进行了多方面的演变。此后,人们发现各种版本的Emotet正在充当其他恶意软件的加载程序,并加入了新的bypass检测技术。

 

0x02 防御Emotet的措施

由于网络犯罪分子不仅会进一步增加其带来的危害程度,而且诸如电子邮件传播等社工技术的不断完善,Emotet恶意软件依旧是一种具有持续性威胁的存在。以下是保护企业系统免受Emotet攻击的建议:

  • 1.仔细检查电子邮件,尤其是包含链接或附件的电子邮件。 如果这些邮件似乎来自于知名机构,请通过检查其官方网站上列出的详细信息来验证邮件中联系信息的真假。
  • 2.对员工进行安全意识培训,教会他们如何识别恶意电子邮件
  • 3.对操作系统和应用程序进行更新,部署最新的补丁程序
  • 4.确保垃圾邮件过滤器的正确部署,并坚持”最小特权原则”。

并且企业可以采用多层安全方法来保护网关,终端,网络和服务器,从而阻止Emotet等恶意软件的攻击。

(完)