2022/05/20

[資安新聞]Emotet惡意程式正嘗試新型態手法進行散布

點閱人次:150

公佈單位:TANet VoIP維運團隊

近期資安業者揭露Emotet惡意程式出現新散布手法,因先前微軟預設關閉Office Visual basic for Applications (VBA)巨集,導致不易使用此途徑進行攻擊,因此駭客正嘗試改變攻擊手法。

4月14日至19日期間,資安公司Proofpoint發現Emotet小型攻擊活動,惟手法與平時典型之大規模攻擊不同,代表Emotet可能在測試新手法,以用於未來更大規模攻擊。使用新型手法寄出之網路釣魚郵件,其主旨僅有如「Salary」簡單關鍵字,內文則包括吸引收件者點選之OneDrive雲端檔案下載連結,點選後將下載Salary_new.zip之壓縮檔,該壓縮檔包括數個Excel外掛元件檔案(XLL檔),亦以「salary」或「bonus」等為檔名,若執行這些檔案,電腦將下載並執行Emotet惡意程式。

與過去攻擊手法相比,此波攻擊活動僅寄出少量釣魚郵件,且不使用附加檔案而用OneDrive連結誘使收件者點選,檔案類型亦由Office檔案改為XLL檔案格式。Proofpoint明確指出本次攻擊非其他駭客團體所為,因TA542駭客組織自2014年後,即控制Emotet使用之網路基礎架構,亦未曾租給其他駭客組織。

Emotet出現新型態攻擊手法,表示微軟關閉巨集確實對駭客攻擊帶來一定影響,迫使駭客轉向不使用巨集之散布手法。

以上新聞轉載自 行政院國家資通安全會報技術服務中心