上周五，世界上最昂贵、最具破坏性的僵尸网络Emotet结束了5个月的中断，带来了大量恶意垃圾邮件，旨在传播一个后门，安装勒索软件、银行欺诈木马和其他恶意软件。

 

安全公司Proofpoint的威胁研究和检测高级主管谢罗德•德格里波告诉Ars，沐鸣开户测速僵尸网络在白天发送了多达25万条信息，其中大部分是发送给美国和英国的用户。其他研究人员说，目标也位于中东、南美和非洲。僵尸网络的特征是发送恶意文件或链接到恶意文件，激活后就安装了Emotet后门。

 

僵尸网络在周二给出了它的第一个回归迹象，发送了少量的消息量。出现在Twitter账户上的来自威胁监控滥用的电子邮件样本。ch和Spamhaus看起来是这样的:

 

Spamhaus

 

上周五，防病毒提供商Malwarebytes和微软也发现了Emotet的复苏。

 

盒子的技巧

 

Emotet已被证明是近年来人们面临的一种更为机智的威胁。电子邮件似乎往往来自目标对象过去曾经通信过的人。这些恶意邮件通常使用这两人之前参与的邮件主题栏和正文。Emotet通过收集受感染计算机的联系人列表和收件箱来获取这些信息。

 

这种技术有双重好处。它会骗过面试者，让他们认为这个信息是可信的，沐鸣开户测速因为这个信息是来自一个熟悉的朋友、熟人或商业伙伴，而这些人正在跟进之前讨论过的事情。包含真实内容也使得垃圾邮件过滤器更难检测出这些邮件是恶意的。

 

Emotet的另一个巧妙之处是:它会窃取发送邮件服务器的用户名和密码。然后，僵尸网络使用这些凭证从这些服务器发送邮件，而不是依靠自己的基础设施。由于受信任的服务器会发送恶意消息，安全产品很难检测和阻止这些消息。

 

打了就跑

 

迪格里波说，Emotet最后一次出现是在2月初一个为期五天的运行期间，当时共发送了约180万条信息。众所周知，僵尸网络会在短时间内制造大爆炸，然后在一段时间内沉默数周或数月。去年九月，它从四个月的睡眠中醒来。

 

该组织以长时间休息而闻名，并在周末和主要节假日期间定期休息。一如往常，最新的情绪活动在周六早上本帖上线时已经完全停止。除了让员工保持健康的工作与生活平衡之外，这种时间表还能让活动更加成功。

 

DeGrippo解释说:“对大多数威胁行动者来说，关键是尽量减少恶意邮件到达收件箱和被目标打开之间的时间间隔。”“这段时间过得越长，沐鸣开户测速威胁行为者面临的风险就越大，因为减轻控制措施，他们的有效载荷无法交付。”

 

表情信息包括恶意的Microsoft Word文档或PDF文件，或链接到恶意Word文件的url。Word文档包含宏，当激活时，安装表情包后门。后门通常要等上几天才能安装后续的恶意软件，比如银行木马和Ryuk勒索软件。

 

研究人员公布了从周五这里、这里和这里的信息爆炸中得出的妥协指标。

 

Emotet是另一个提醒，人们应该高度怀疑电子邮件中发送的文件和链接，特别是如果它们看起来脱离了上下文，比如朋友发送的发票。人们应该加倍怀疑任何需要宏才能查看内容的Word文档。使用者很少有理由使用宏，所以一个好的家庭规则是无论什么原因都不要启用它们。一个更好的策略是在谷歌文档中打开Word文档，它可以防止任何恶意软件被安装到本地计算机上。