一个臭名昭着的僵尸网络已经开始在几个月的中断后再次发送垃圾邮件,这可能会给世界各地的组织带来坏消息。
Emotet 已经休眠了四个月左右,但开始在星期一早上抽不出来的垃圾邮件,网络钓鱼用德语,波兰语,英语和意大利语发送的电子邮件,根据的 Malwarebytes。
该公司表示,命令和控制(C2)服务器活动的上升预示着它将重返臭名昭着的僵尸网络的前线。
在这个新的广告系列中,用户被欺骗打开附加文档并启用宏,触发 PowerShell 命令,该命令将尝试从受感染的网站(通常是运行 WordPress 的网站)下载 Emotet。
“一旦安装在端点上,除了从已安装的应用程序中窃取密码外,Emotet 还会尝试横向传播。也许最大的威胁是,Emotet 可以作为更危险的有效载荷的传送载体,例如勒索软件,“ Malwarebytes 警告说。
“妥协的机器可以处于休眠状态,直到操作员决定将工作交给其他犯罪集团,这些犯罪集团将试图向受害者勒索大笔款项。在过去,我们已经看到臭名昭着的 Ryuk 勒索软件正在以这种方式部署。“
与朝鲜拉撒路集团有关的 Ryuk 被认为在截至 2019年1月的六个月内为其运营商赚取了近 380 万美元。
像 Trickbot 一样,Emotet 最初是一个银行特洛伊木马程序,它被重新编写为恶意软件加载程序。其运营商销售对僵尸网络的访问权限,以便客户将其用作恶意软件分发网络。
根据 Malwarebytes 的说法,仅在 2018年1月至 9月期间,Emotet 恶意软件被检测到并被删除超过 150 万次。去年7月,威胁变得非常严重,美国 CERT 被迫发布关于 Emotet 及其能力的警报。