近期，火絨監(jiān)測(cè)到Emotet木馬病毒再次大規(guī)模爆發(fā)，主要通過魚叉郵件方式進(jìn)行傳播。當(dāng)用戶點(diǎn)擊運(yùn)行郵件附件后，病毒就會(huì)被激活，并在終端后臺(tái)盜取各類隱私信息，由于魚叉郵件主要針對(duì)特定用戶、組織或企業(yè)，嚴(yán)重威脅企業(yè)信息安全，火絨在此緊急提示廣大企業(yè)用戶注意防范。火絨用戶無需擔(dān)心，火絨已對(duì)Emotet木馬病毒進(jìn)行查殺。

查殺圖

根據(jù)“火絨威脅情報(bào)中心”監(jiān)測(cè)和評(píng)估，本次Emotet木馬病毒來勢(shì)洶洶，在11月份快速增長(zhǎng)，并于中下旬集中爆發(fā)。

Emotet近期增長(zhǎng)趨勢(shì)

Emotet曾是自2014年至今全球規(guī)模最大的僵尸網(wǎng)絡(luò)之一，該僵尸網(wǎng)絡(luò)在2021年1月被歐洲刑警組織查獲，并于4月25日下發(fā)“自毀模塊”后被徹底搗毀。主要通過魚叉郵件進(jìn)行傳播的Emotet木馬病毒，在過去的7年時(shí)間里，給社會(huì)帶來了極大損失和影響。

火絨曾在《全球最大僵尸網(wǎng)絡(luò)自毀 火絨起底Emotet與安全軟件對(duì)抗全過程》一文中，詳細(xì)分析了Emotet通過不斷更換外層混淆器，調(diào)整自身的代碼邏輯和更新C&C服務(wù)器，瘋狂的與安全軟件進(jìn)行對(duì)抗的過程。

火絨再次提醒廣大用戶，尤其企業(yè)用戶，請(qǐng)及時(shí)做好排查工作，發(fā)現(xiàn)可疑郵件可聯(lián)系專業(yè)人員查看。也可以安裝火絨安全軟件，通過【文件實(shí)時(shí)監(jiān)控】、【郵件監(jiān)控】、【應(yīng)用加固】和【系統(tǒng)加固】等關(guān)鍵性防護(hù)功能，避免遭受Emotet木馬病毒威脅，保護(hù)終端網(wǎng)絡(luò)安全。

一、詳細(xì)分析

魚叉郵件中會(huì)將惡意文檔（通常為doc、docx、xls、xlsx等）偽裝為企業(yè)內(nèi)部業(yè)務(wù)相關(guān)的溝通信息文檔，從而誘導(dǎo)用戶打開。惡意文檔內(nèi)的宏腳本被激活后，會(huì)啟動(dòng)powershell下載Emotet木馬病毒，再由rundll32加載執(zhí)行。Emotet最終會(huì)下載執(zhí)行實(shí)質(zhì)惡意模塊（報(bào)告中僅以間諜木馬模塊為例，主要惡意行為為盜取用戶數(shù)據(jù)）。病毒惡意代碼執(zhí)行流程，如下圖所示：

病毒惡意代碼執(zhí)行流程

用于病毒傳播的魚叉郵件內(nèi)容，如下圖所示：

魚叉郵件內(nèi)容

本次用作Emotet木馬病毒傳播的惡意文檔內(nèi)容，如下圖所示：

惡意文檔內(nèi)容

Emotet木馬病毒執(zhí)行后會(huì)盜取用戶數(shù)據(jù)，以盜取郵件客戶端工具<Mozilla Thunderbird>數(shù)據(jù)文件為例，相關(guān)行為如下圖所示：

相關(guān)惡意行為

盜取郵件客戶端工具<Mozilla Thunderbird>數(shù)據(jù)文件代碼，如下圖所示：

盜取Thunderbird數(shù)據(jù)文件代碼

二、同源性分析

經(jīng)分析發(fā)現(xiàn)，該病毒的傳播途徑、惡意行為代碼與之前分析的Emotet病毒具有一定的相似性。以下為該病毒樣本與2021年1月份捕獲到的Emotet樣本在關(guān)鍵解密函數(shù)的代碼對(duì)比圖：

此前報(bào)告中Emotet關(guān)鍵代碼與當(dāng)前Emotet關(guān)鍵代碼同源性對(duì)比