在大多数美国大流行没有活跃之后,Emotet恶意软件已开始向美国企业发送与COVID-19相关的电子邮件。
在2020年2月7日变黑之前,Emotet恶意软件通常向COVID-19主题垃圾邮件发送垃圾邮件,以在已经受到大流行影响的其他国家/地区分发恶意软件。
由于美国大流行开始于3月左右,Emotet从未有机会针对与COVID-19相关的垃圾邮件的美国企业。
在2020年7月17日醒来之后,Emotet的活动再次全面展开,Emotet已经开始散发出COVID-19垃圾邮件,这次是针对美国的用户了。
COVID-19 Emotet垃圾邮件现在针对美国组织
在安全研究员Fate112发现的新垃圾邮件中,Emotet一直在发送一封被盗邮件,该邮件伪装成来自``加利福尼亚消防机械'',并发送了``5月COVID-19更新''。
该电子邮件不是由Emotet参与者创建的模板,而是从现有受害者那里窃取并被恶意软件的垃圾邮件活动采用的电子邮件。
电子邮件的附件中有一个名为“ EG-8777 Medical report COVID-19.doc”的恶意附件,该附件使用先前活动中使用的通用文档模板。
该模板假装是从iOS设备创建的,要求用户单击“启用内容”以正确查看它。
用户单击“启用内容”按钮后,将执行PowerShell命令,该命令将从三个站点之一下载Emotet恶意软件可执行文件。
在此特定活动中,下载后,Emotet将保存到%UserProfile%文件夹中,并以三位数字命名,例如498.exe。
一旦执行,受害者的计算机将成为恶意软件机器人操作的一部分,并向其他恶意电子邮件发送垃圾邮件。
最终,Emotet将下载并安装其他恶意软件,例如Qbot或TrickBot,它们将被用来窃取您的数据,密码并可能导致勒索软件的部署。在与Emotet专家约瑟夫·罗森(Joseph Roosen)的对话中,BleepingComputer被告知,最近还使用回复链电子邮件看到了其他COVID-19广告系列。
“到目前为止,我们只将其视为被盗的回复链电子邮件的一部分。我们还没有将其视为通用模板,但是我敢肯定它就在附近。
Cofense声明,文档日期将更改为活动日期。由于Emotet是一种危险的恶意软件,可能导致多种风险,因此所有家庭和企业用户在打开要求您“启用内容”的文档时必须谨慎。
【来源:八卦的温柔】
声明:转载此文是出于传递更多信息之目的。若有来源标注错误或侵犯了您的合法权益,请作者持权属证明与本网联系,我们将及时更正、删除,谢谢。 邮箱地址:[email protected]