聚焦源代码安全,网罗国内外最新资讯!
编译:奇安信代码卫士团队
上周,Emotet又出新模板,假装为一条 Microsoft Office 信息称 Microsoft Word 需更新,以增加一个新功能。
Emotet 是通过含带有恶意宏的 Word 文档的邮件传播的恶意软件。当收啊hi这打开这些文档时,将被诱骗启用宏以下载 Emotet 恶意软件并安装到计算机上。
一旦安装该恶意软件,Emotet 将使用计算机发送垃圾邮件并最终安装其它可导致勒索攻击的恶意软件。
新型恶意文档模板
Emotet 垃圾邮件活动使用多种诱饵诱骗收件人打开附件,如假装为发票、运输通知、简历或订单、甚至是新冠肺炎信息等。这些垃圾邮件附件是恶意 Word 文档或下载链接。打开附件后,受害者被要求 “启用内容“,恶意宏之后就会运行,将 Emotet 恶意软件安装在受害者计算机上。为诱骗用户启用宏,Emotet 使用了多种设计或文档模板向用户展示警告信息。
Emotet 新增的模板要求用户更新 Word 以新增功能:
更新 Microsoft Word 版本
升级版本,添加 Microsoft Word 新功能
请点击 “启用编辑 (Enable Editing)”,之后点击 “启用内容 (Enable Content)”
恶意文档告知用户称,要升级 Microsoft Word,必须首先点击“启用编辑”之后点击”启用内容“,从而引发恶意宏执行。这些宏将下载并将Emotet 恶意软件安装到 %LocalAppData% folder。
为何有必要识别 Emotet 附件?
Emotet 被认为是传播最广泛的恶意软件。它尤为危险的原因在于,会在受害者计算机上安装其它恶意软件如 Trickbot 和 QBot。安装后,TrickBot 和 QBot 将试图窃取存储的密码、银行信息和其它信息,同时一般会导致 Conti (TrickBot) 或 ProLock (QBot) 勒索软件攻击。
为此,所有邮件用户必须识别出 Emotet 使用的恶意文档模板,以免遭感染。
推荐阅读
请君入瓮:研究员找到 Emotet 的bug,并成功阻止传播
佳明、杜斯曼集团等巨头遭勒索攻击;Emotet利用新技术实施攻击
原文链接
https://www.bleepingcomputer.com/news/security/emotet-malware-now-wants-you-to-upgrade-microsoft-word/
题图:Pixabay License
本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的
产品线。
觉得不错,就点个 “在看” 吧~