Emotet 再次回归：更具威胁的恶意软件

重点摘要

• Emotet 是一种银行木马，首次出现于八年前，如今以更复杂和危险的新形式重现。
• 新版本的 Emotet 能够访问和利用电子表格、文档及其他 Microsoft 程序，绕过安全防护。
• 该恶意软件导致 Microsoft Excel 宏的使用增加九倍，攻击者正在利用恶意软件即服务（MaaS）。
• Emotet 当前的变种依然使用与以往相似的攻击途径，但更有效地收集和利用被盗凭证。
• 攻击的目标范围已扩大至日本、美国和意大利，且其策略不断升级。

随着恶意软件的不断演变，旧的威胁往往会以新的形式回归，Emotet正是其中一个典型案例。这种银行木马首次出现在八年前，目前以更强大、更隐蔽的形态重现。当前版本的 Emotet 不仅能访问电子表格和文档，还能够运用其他
Microsoft 程序，有效地绕过入侵安全。

Emotet 最早由一个国际联合团体在2014年1月首次使用，它能够窃取客户数据。根据报告，此次它的操控者引入了一个新模块，可以从 GoogleChrome 中盗取支付卡信息。值得注意的是，Emotet 当前恶意软件的新版本导致 Microsoft Excel宏的使用量与2021年第四季度相比增加了九倍。

这些利用 Emotet 的犯罪分子是首批提供恶意软件即服务（MaaS）的人。根据安全研究者的说法，
虽然仍使用许多相同的攻击途径，但在收集和使用被盗凭证方面的效果却更加显著。

在一篇关于 Emotet 重新出现的博客文章中，Deep Instinct 的网络安全倡导主任 ChuckEverette指出，当前的恶意软件变种使用了很多与之前版本相同的“规避方法”。他说：“这些攻击确实具有过去的相似特征，但现在它们却有一些全新和改进的技术与战术。”

最近，Emotet 开始专门针对日本、美国和意大利的客户，Deep Instinct的研究人员在去年11月检测到该恶意软件的重新出现，并注意到这一经过改进的恶意软件甚至能够通过电子邮件网关安全防护。

攻击特点 | 详细信息
—|—
攻击范围 | 日本、美国和意大利
技术手段 | 使用 64 位 shell 代码及更高级的 PowerShell 和活动脚本
安全漏洞 | 约五分之一的恶意样本利用了2017年 Microsoft 漏洞 CVE-2017-11882

与此同时，Emotet 还使用内部代码和二进制相似性算法，密切监测一系列选定的活动，其中 Emotet 是一个重点对象。Everette进一步解释道，几种静态规避方法是 Emotet 的显著特征，在新变种的波动中，这些方法的使用增加表明了 Emotet 活动的增强。

“Emotet 黑帮是专业人士，他们非常精通如何进行成功的网络钓鱼攻击，并在新攻击技术上升级了他们的战术，”Everette在公司博客中提到。“然而，主要的传播方式仍然是网络钓鱼电子邮件，而人为因素则是他们的弱点。”

Everette 提醒道：“如果你能让自己比其他公司更难以攻击，他们会选择更简单的目标。确保你成为更难以渗透的目标，并对员工进行教育。”