详细内容或原文请订阅后点击阅览
Emotet 以新的大规模电子邮件泄露活动苏醒
Emotet 恶意软件家族刚刚将电子邮件泄露功能添加到其武器库中,从而将其网络间谍能力提升到一个新的高度。虽然 Emotet 最近因向美国水务公司等基础设施发送勒索软件负载而登上头条新闻,但在过去一个月里,它基本上处于休眠状态。然而,在过去的几天里,木乃伊在万圣节前夕又回来了,我们观察到一个能够将电子邮件内容泄露给僵尸网络运营商的新模块。
来源:Kryptos Logic _恶意软件Emotet 恶意软件家族刚刚将电子邮件泄露功能添加到其武器库中,从而将其网络间谍能力提升到一个新的水平。虽然 Emotet 最近因向美国水务公司等基础设施发送勒索软件负载而登上头条新闻,但在过去一个月里,它基本处于休眠状态。然而,在过去的几天里,这具木乃伊在万圣节前夕又回来了,我们发现了一个新模块,能够将电子邮件内容泄露回僵尸网络的运营商。
这项新功能有效地将所有现有的 Emotet 感染的电子邮件发送给攻击者,并返回 180 天前的邮件历史记录。
这篇文章将研究支持 Emotet 大规模电子邮件捕获的新威胁负载,检查泄露过程,并观察其全球分布。
即使是受保护的系统也可能被这种先进的恶意软件感染。如果您想检查您的组织是否已被感染,请务必查看我们的免费受害者通知服务 Telltale。
TelltaleEmotet 电子邮件收集模块简介
以前的 Emotet 模块已经使用 Outlook Messaging API 窃取联系人列表。此 API 本质上是一个允许应用程序准备就绪的电子邮件接口。MAPI 使用的最常见情况是简单 MAPI(包含在 Windows 中,作为默认 Windows Live 电子邮件客户端的一部分)或 Outlook 和 Exchange 使用的完整 MAPI。换句话说,如果 Windows 配置正确,此 API 可让应用程序访问电子邮件。
Outlook Messaging API此配置是此模块检查的第一件事。特别是,访问注册表项 HKLM\Software\Clients\Mail\Microsoft Outlook,并期望定义值 DllPathEx(mapi32.dll 模块的路径)。如果没有,模块将无法继续。请注意,注册表项非常具体 - 还有其他可能的项,例如 HKLM\Software\Clients\Mail\Windows Mail,而该模块根本不关心这些项。
DllPathEx