銷聲匿跡大約4個月后，老牌惡意軟件 Emotet 卷土重來。安全公司 Proofpoint 表示，自 2022 年 11 月初以來，Emotet再度回歸電子郵件攻擊領域，每天發(fā)送數(shù)十萬封釣魚郵件，成為所觀察到的數(shù)量最多的攻擊者之一。

據(jù)悉，Emotet上一次活躍的時間是在2022年7月，此次新的活動跡象表明，Emotet正在恢復其作為主要惡意軟件系列的全部功能。這一次，它們的主要目標區(qū)域包括美國、英國、日本、德國、意大利、法國、西班牙、墨西哥和巴西。

在這次新一輪的攻擊活動中，Emotet發(fā)送的釣魚郵件通常包含了 Excel 附件或受密碼保護的 zip 附件，其中亦包含 Excel 文件。Excel 文件包含 XL4 宏，可從多個內置 URL 下載 Emotet 負載。但由于最近微軟宣布開始默認禁用從互聯(lián)網下載的Office文檔中的宏，許多惡意軟件已經開始從Office宏遷移到其他傳遞機制，如ISO和LNK文件。

雖然 Emotet 采用了舊方法，但仍通過另一種方式，即誘使受害者將文件復制到 Microsoft Office一個受信任的位置，在此處打卡文件將立即執(zhí)行宏，且不會發(fā)出任何警告。但在將文件移動到受信任的位置時，操作系統(tǒng)會要求用戶擁有管理員權限才能進行此類移動。

雖然總體活動與7月份的類似，但此次Emotet依然進行了不少更新，包括加載程序組件的更改、新命令的添加、更新打包程序以抵抗逆向工程。值得注意的是，Emotet的有效載荷——IcedID加載程序采用了全新的變體，不僅能接收命令以讀取文件內容，將文件內容發(fā)送到遠程服務器，還能執(zhí)行其他后門指令以提取 Web 瀏覽器數(shù)據(jù)。研究人員對全新的IcedID感到擔憂，因為它可能是為勒索攻擊做鋪墊。

Emotet曾是自2014年至今全球規(guī)模最大的惡意軟件系列之一。2021年1月，Emotet僵尸網絡被執(zhí)法部門取締，并于4月25日下發(fā)“自毀模塊”后被徹底搗毀，C2服務器一度接近癱瘓。2021年11月，Emotet死灰復燃，開始間斷性地進行活動。