近期，火絨監(jiān)測到Emotet木馬病毒再次大規(guī)模爆發(fā)，主要通過魚叉郵件方式進行傳播。當用戶點擊運行郵件附件后，病毒就會被激活，并在終端后臺盜取各類隱私信息，由于魚叉郵件主要針對特定用戶、組織或企業(yè)，嚴重威脅企業(yè)信息安全，火絨在此緊急提示廣大企業(yè)用戶注意防范。火絨用戶無需擔心，火絨已對Emotet木馬病毒進行查殺。

查殺圖

根據(jù)“火絨威脅情報中心”監(jiān)測和評估，本次Emotet木馬病毒來勢洶洶，在11月份快速增長，并于中下旬集中爆發(fā)。

Emotet近期增長趨勢

Emotet曾是自2014年至今全球規(guī)模最大的僵尸網絡之一，該僵尸網絡在2021年1月被歐洲刑警組織查獲，并于4月25日下發(fā)“自毀模塊”后被徹底搗毀。主要通過魚叉郵件進行傳播的Emotet木馬病毒，在過去的7年時間里，給社會帶來了極大損失和影響。

火絨曾在《全球最大僵尸網絡自毀 火絨起底Emotet與安全軟件對抗全過程》一文中，詳細分析了Emotet通過不斷更換外層混淆器，調整自身的代碼邏輯和更新C&C服務器，瘋狂的與安全軟件進行對抗的過程。

火絨再次提醒廣大用戶，尤其企業(yè)用戶，請及時做好排查工作，發(fā)現(xiàn)可疑郵件可聯(lián)系專業(yè)人員查看。也可以安裝火絨安全軟件，通過【文件實時監(jiān)控】、【郵件監(jiān)控】、【應用加固】和【系統(tǒng)加固】等關鍵性防護功能，避免遭受Emotet木馬病毒威脅，保護終端網絡安全。

一、詳細分析

魚叉郵件中會將惡意文檔（通常為doc、docx、xls、xlsx等）偽裝為企業(yè)內部業(yè)務相關的溝通信息文檔，從而誘導用戶打開。惡意文檔內的宏腳本被激活后，會啟動powershell下載Emotet木馬病毒，再由rundll32加載執(zhí)行。Emotet最終會下載執(zhí)行實質惡意模塊（報告中僅以間諜木馬模塊為例，主要惡意行為為盜取用戶數(shù)據(jù)）。病毒惡意代碼執(zhí)行流程，如下圖所示：

病毒惡意代碼執(zhí)行流程

用于病毒傳播的魚叉郵件內容，如下圖所示：

魚叉郵件內容

本次用作Emotet木馬病毒傳播的惡意文檔內容，如下圖所示：

惡意文檔內容

Emotet木馬病毒執(zhí)行后會盜取用戶數(shù)據(jù)，以盜取郵件客戶端工具<Mozilla Thunderbird>數(shù)據(jù)文件為例，相關行為如下圖所示：

相關惡意行為

盜取郵件客戶端工具<Mozilla Thunderbird>數(shù)據(jù)文件代碼，如下圖所示：

盜取Thunderbird數(shù)據(jù)文件代碼

二、同源性分析

經分析發(fā)現(xiàn)，該病毒的傳播途徑、惡意行為代碼與之前分析的Emotet病毒具有一定的相似性。以下為該病毒樣本與2021年1月份捕獲到的Emotet樣本在關鍵解密函數(shù)的代碼對比圖：

此前報告中Emotet關鍵代碼與當前Emotet關鍵代碼同源性對比