在大多数美国大流行没有活跃之后,Emotet恶意软件已开始向美国企业发送与COVID-19相关的电子邮件。
在2020年2月7日变黑之前,Emotet恶意软件通常向COVID-19主题垃圾邮件发送垃圾邮件,以在已经受到大流行影响的其他国家/地区分发恶意软件。
由于美国大流行开始于3月左右,Emotet从未有机会针对与COVID-19相关的垃圾邮件的美国企业。
在2020年7月17日醒来之后,Emotet的活动再次全面展开,Emotet已经开始散发出COVID-19垃圾邮件,这次是针对美国的用户了。
COVID-19 Emotet垃圾邮件现在针对美国组织
在安全研究员Fate112发现的新垃圾邮件中,Emotet一直在发送一封被盗邮件,该邮件伪装成来自“加利福尼亚消防机械”,并发送了“5月COVID-19更新”。
该电子邮件不是由Emotet参与者创建的模板,而是从现有受害者那里窃取并被恶意软件的垃圾邮件活动采用的电子邮件。
电子邮件的附件中有一个名为“ EG-8777 Medical report COVID-19.doc”的恶意附件,该附件使用先前活动中使用的通用文档模板。
该模板假装是从iOS设备创建的,要求用户单击“启用内容”以正确查看它。
用户单击“启用内容”按钮后,将执行PowerShell命令,该命令将从三个站点之一下载Emotet恶意软件可执行文件。
在此特定活动中,下载后,Emotet将保存到%UserProfile%文件夹中,并以三位数字命名,例如498.exe。
一旦执行,受害者的计算机将成为恶意软件机器人操作的一部分,并向其他恶意电子邮件发送垃圾邮件。
最终,Emotet将下载并安装其他恶意软件,例如Qbot或TrickBot,它们将被用来窃取您的数据,密码并可能导致勒索软件的部署。在与Emotet专家约瑟夫·罗森(Joseph Roosen)的对话中,BleepingComputer被告知,最近还使用回复链电子邮件看到了其他COVID-19广告系列。
“到目前为止,我们只将其视为被盗的回复链电子邮件的一部分。我们还没有将其视为通用模板,但是我敢肯定它就在附近。
我昨天看到有一个回复链发送到Rosen告诉BleepingComputer,由于covid-19而导致100多个地址指向一个组织的关闭。
如果Ivan筛选其中一些回复链以专注于涉及covid-19的回复链,我不会感到惊讶。Ivan是Roosen对俄罗斯Emotet恶意软件运营商的昵称。
电子邮件安全公司Cofense也告诉BleepingComputer,他们最近发现与COVID-19相关的垃圾邮件使用了名为“ COVID-19 report 08 12.doc”及类似附件的附件。
Cofense声明,文档日期将更改为活动日期。由于Emotet是一种危险的恶意软件,可能导致多种风险,因此所有家庭和企业用户在打开要求您“启用内容”的文档时必须谨慎。
如果您收到这些类型的电子邮件,请首先使用防病毒扫描程序扫描附件,以确保可以安全打开。即使那样,您也应谨慎行事。
声明:本站部分文章内容及图片转载于互联 、内容不代表本站观点,如有内容涉及侵权,请您立即联系本站处理,非常感谢!