Emotet再次崛起：通过OneNote附件规避宏安全

臭名昭著的Emotet恶意软件在短暂中断后卷土重来，现在正通过Microsoft OneNote电子邮件附件进行分发，试图绕过基于宏的安全限制并危害系统。

Emotet与被追踪为Gold Crestwood、Mummy Spider或TA542的威胁行为者有关，尽管执法部门试图将其取缔，但它仍然是一个强大而有弹性的威胁。

Cridex银行蠕虫的衍生品——随后在2014年GameOver Zeus被破坏的同时被Dridex取代——Emotet已经发展成为“其他威胁参与者以按安装付费（PPI）进行恶意活动的货币化平台) 模型，允许窃取敏感数据和勒索赎金。”

虽然Emotet感染充当了传播Cobalt Strike、IcedID、Qakbot、Quantum勒索软件和 TrickBot 的渠道，但它在2021年底的回归是由TrickBot促成的。

“Emotet以长期不活动而著称，通常每年发生多次，僵尸网络保持稳定状态但不传送垃圾邮件或恶意软件，”Secureworks在其参与者简介中指出。

滴管恶意软件通常通过包含恶意附件的垃圾邮件进行分发。但随着微软采取措施阻止下载的Office文件中的宏，OneNote 附件已成为一种有吸引力的替代途径。

Malwarebytes在新的警报中透露：“OneNote 文件很简单，但通过伪造的通知表明该文档受到保护，对社会工程用户来说却很有效。”“当指示双击“查看”按钮时，受害者会无意中双击嵌入的脚本文件。”

Windows脚本文件(WSF)旨在从远程服务器检索和执行Emotet二进制负载。Cyble、IBM X-Force和Palo Alto Networks Unit 42也证实了类似的发现。

也就是说，Emotet仍然继续使用包含宏的诱杀文档来传递恶意负载，使用社会工程诱饵来诱使用户启用宏来激活攻击链。

根据Cyble、Deep Instinct、Hornetsecurity和Trend Micro的多份报告，此类文件已被观察到利用一种称为解压炸弹的技术在 ZIP 存档附件中隐藏一个非常大的文件（超过 550 MB）以在雷达下飞行。

这是通过在文档末尾填充00字节来人为增大文件大小以超过反恶意软件解决方案强加的限制来实现的。

最新的发展表明运营商在切换附件类型以进行初始交付以逃避检测签名方面具有灵活性和敏捷性。它还出现在威胁行为者使用OneNote文档分发各种恶意软件（例如AsyncRAT、Icedid、RedLine Stealer、Qakbot和XWorm）的激增之际。

据Trellix称，2023年大多数恶意OneNote检测报告发生在美国、韩国、德国、沙特阿拉伯、波兰、印度、英国、意大利、日本和克罗地亚，制造业、高科技、电信、金融和能源成为最受关注的行业。

本文来源于Lonely Blog -全球网络安全资讯平台, 转载请注明出处： https://blog.wuhao13.xin/5162.html