惡名昭彰 Emotet 銀行木馬,偽裝成前 CIA 職員愛德華·史諾登的回憶錄再出擊

Emotet銀行木馬(趨勢科技偵測為TrojanSpy.Win32.EMOTET.THIBEAI)最近又再次浮出水面,而且還利用了前美國中央情報局職員 愛德華·史諾登 (Edward Snowden, 前美國中央情報局職員,美國國家安全局外包技術員)的熱門回憶錄來快速地擴大戰線。

這波攻擊背後的惡意份子會寄送與該回憶錄同名的 Word 附件「Permanent Record ( 永久檔案)」,誘騙受害者打開夾帶Emotet病毒的惡意文件。

根據安全研究人員的說法,一旦受害者開啟文件,就會跳出假訊息來要求啟用Microsoft Word。點擊啟用按鈕後,惡意巨集就會在背景執行。接著它會觸發一個PowerShell命令來連上一個被入侵的WordPress網站。再將Emotet及其他惡意軟體(如Trickbot)下載到受害者的電腦上,同時連到命令與控制(C&C)伺服器。

Emotet銀行惡意軟體,會監聽網路活動竊取資料

在2014年,趨勢科技發現Emotet是種銀行惡意軟體,它會監聽網路活動來竊取資料。它已經演進了好幾年。Emotet會利用自己的垃圾郵件模組來散播到全世界不同的產業和地區,並且還會利用沙箱及分析躲避技術

[延伸閱讀:起死回生的Emotet銀行木馬程式,在全球建立了721個非重複的 C&C 伺服器 ]

趨勢科技專家在去年發表的一份全面性報告裡研究了Emotet的運作方式 – 發現其殭屍網路背後至少有兩個並行運行的基礎設施,同時可能在進行惡意活動時採用多層次的操作機制。

這惡意軟體家族以不斷發展垃圾郵件內容和擴散能力而著稱。它不會止步於一台中毒電腦,而是會散播到連接網路的其他電腦上並進行橫向散播。

根據國土安全部的說法,因為Emotet的破壞性,讓每次事故都可能造成州、地方,部落和地區(SLTT)政府高達100萬美元的損失。

使用者該如何防範社交工程攻擊?

防禦社交工程詐騙攻擊的最佳方法是,充分了解網路犯罪分子用來欺騙你的各種手法。

此次的垃圾郵件活動利用社交工程來誘騙使用者認為自己是在下載免費的熱門電子書,結果是感染了Emotet惡意軟體。

底下步驟是確保你不會遭受社交工程攻擊的關鍵:

  • 將信任的網站加入書籤。為了確保自己連到正確的網站,請到搜索引擎上自行搜尋。不要點入電子郵件內所提供的網站連結,尤其是來自未知或不熟悉來源的網站連結。
  • 點擊前先三思。不要點入過份美好優惠的連結。不要馬上就下載附加檔案。如果並不確定或有所懷疑,請致電寄件者來確認電子郵件內容。使用公開取得的聯絡資訊,而不要用電子郵件內提供的聯絡資訊。
  • 不要輕易被威脅、緊急要求或過份美好的優惠所左右。壞人期望你會因為威脅、匆促或是令人難以置信的好處而動搖。放慢腳步,花點時間評估電子郵件的本質。
  • 用適當的技術保護你的電腦。安裝有效的安全解決方案保護系統和資料及對抗各類威脅。

組織該如何抵禦Emotet

以下是企業可以採取的一些最佳實作,以防禦 Emotet及隨之而來的其他威脅:

定期修補和更新(或使用虛擬修補)。

Emotet是模組化的惡意下載程式,可以部署攻擊漏洞的其他類型威脅。更新和修補系統、網路和伺服器軟體能夠消除這些漏洞。

保護電子郵件閘道。

Emotet的主要攻擊媒介是垃圾郵件,它會利用社交工程(social engineering )散播。建議養成7個防止網路釣魚的安全習慣

  1. 遇到要求提供個人資訊的信件應提高警覺。
    絕大多數的企業都不會要求客戶提供敏感的資料。若有任何疑問,使用者應該直接向該公司確認,以避免發生問題。
  2. 務必仔細查看寄件人名稱來確認郵件的真實性。
    大多數企業的網站和電子郵件都會掛在同一個網域,因此,如果信件不是來自該公司的官方網域,那就是個重要警訊。
  3. 不要點選郵件中的連結或下載其隨附檔案,就算似乎來自「可靠」來源也一樣
  4. 將滑鼠滑到連結上方檢查網址
    除非使用者百分之百確定連結沒問題,否則切勿點選連結。將滑鼠滑到連結上方等一下,就會看到其實背後真正的網址。
  5. 注意郵件是否有拼錯字或文法錯誤的情況
    正牌的公司在發信之前一定會用拼字檢查軟體來確保內容的正確性。
  6. 如果對自己的帳戶狀況不放心,請直接向該公司確認, 切勿被郵件威嚇性的口吻嚇到。
  7. 留意空泛的郵件的主旨和問候方式
    網路釣魚郵件通常會大量散發給許多收件者,因此內容會盡量寫得通用一點。如果發現郵件的主旨和問候方式寫得很空泛,那就是網路釣魚的徵兆。

強制執行最小權限原則。


Emotet會將合法工具(如PowerShell)利用成為攻擊鏈的一部分。停用、限制防護系統管理工具可以將它們遭受濫用的威脅降到最低。

主動監視組織的線上基礎架構。

對組織而言,多層次安全防護有助於抵禦Emotet。防火牆入侵偵測與防禦系統能夠偵測和封鎖可疑流量或惡意網路活動。應用程式控制和行為監控可以封鎖異常執行檔或惡意軟體相關程序的執行,而網址過濾可以封鎖可能包含惡意軟體的惡意網址和網站。

趨勢科技端點解決方案(如Smart Protection SuitesWorry-Free Business Security )具備行為監控功能,可以偵測惡意檔案、腳本和郵件並封鎖所有相關惡意網址來保護使用者和企業抵禦Emotet之類的威脅。趨勢科技Apex One防護技術採用多種威脅偵測技術,特別是行為分析,能夠抵禦惡意腳本、注入、勒索病毒及針對記憶體和瀏覽器的攻擊。

趨勢科技Deep Discovery進階網路安全防護 解決方案擁有 電子郵件檢查功能,可以偵測惡意附件檔和網址來保護企業。即使遠端腳本沒有被實際下載到端點也能夠偵測。趨勢科技的Deep Discovery Inspector透過以下DDI規則來保護客戶抵禦Emotet威脅:

  • 2897: EMOTET – HTTP (Request) – Variant 4

入侵指標

SHA-256 趨勢科技預測式機器學習偵測名稱 趨勢科技病毒碼偵測名稱
惡意Word檔案 5ab7a5cf290ebf52647771f893a2fa322a9b1891e5a5e54811c500dd290c8477   Downloader.VBA.TRX.XXVBAF01FF005 Trojan.W97M.POWLOAD.THIBDAI
Emotet病毒 757b35d20f05b98f2c51fc7a9b6a57ccbbd428576563d3aff7e0c6b70d544975 TrojanSpy.Win32.EMOTET.THIBEAI

@原文出處:Emotet Disguises as Downloadable File of Edward Snowden’s New Book to Infect Users