由 dawei Emotet 是世界上最危险的恶意软件变种之一,其运营商已不再使用Microsoft Office宏进行分发,而是转向 Windows 快捷方式文件 (.lnk)。
根据BleepingComputer的报告,网络安全研究人员观察到 Emotet 使用附加到 .lnk 文件的 PowerShell 命令下载并在目标端点上运行恶意脚本。
禁用宏
快捷方式文件包含存储恶意 PowerShell 脚本的“多个”受感染网站的 URL。如果受害者运行快捷方式文件,而网站仍然托管恶意软件,它将以随机名称将其下载到系统的 Temp 文件夹,然后使用 regsvr32.exe 运行它。
ESET 的网络安全研究人员声称 Emotet 的新分发方法在墨西哥、意大利、日本、土耳其和加拿大效果最好。
在今年 2 月初发布的公告中,据说从公司网络外部共享的所有文件都将被视为“不受信任”,这意味着来自同一域的所有文件仍应能够保留其宏。
多年来,犯罪集团一直在共享宏驱动的恶意 Office 文档,以掠夺容易上当或疲惫不堪的员工。付款收据、付款失败警告、工作机会、Covid-19 和疫苗信息,只是骗子为了让人们运行宏并用病毒感染他们的端点而共享的一些文档类型。