知道你的名字并引用你的电子邮件的僵尸网络带着新的伎俩回来了
展开
盖蒂图片社
![僵尸网络谁知道你的名字并引用你的电子邮件并返回新提示](https://cdn.arstechnica.net/wp-content/uploads/2023/03/email-notification-800x534.jpg)
Emotet 僵尸网络被广泛认为是 Internet 的主要威胁之一,它在中断了数月之后又卷土重来,并推出了一些新技巧。
上周,Emotet 在中断四个月后今年首次亮相。他带着他的标志性活动回来了——一波恶意垃圾邮件似乎来自一个已知的联系人,用名字称呼收件人,并似乎回复了一个现有的线程。当 Emotet 从之前的突破中回归时,它带来了旨在逃避端点安全产品并诱骗用户单击链接或激活附加 Microsoft Office 文档中的危险宏的新技术。上周的恢复没有什么不同。
例如,上周二发送的一封恶意电子邮件附加了一个 Word 文档,最后附加了大量多余的数据。结果,该文件超过 500MB,大到足以阻止某些安全产品扫描内容。这种称为二进制填充或文件抽取的技术通过在文档末尾添加零来工作。安全公司的研究人员周一表示,如果有人被诱骗启用宏,捆绑的恶意 Windows DLL 文件也会被抽出,将其从 616 KB 增加到 548.1 MB。趋势科技。
附加文档中发现的另一个逃生技巧:赫尔曼梅尔维尔的经典小说白鲸记的节选,在白页上以白色字体显示,因此文本不可读。某些安全产品会自动标记仅包含宏和图像的 Microsoft Office 文件。隐形文本旨在规避此类软件,而不会引起目标的怀疑。
![](https://cdn.arstechnica.net/wp-content/uploads/2023/03/emotet-moby-dick-640x737.png)
打开时,Word 文档会显示一个图形,表明除非用户单击“启用内容”按钮,否则无法访问内容。去年,Microsoft 开始默认禁用从 Internet 下载的宏。
![打开恶意 Word 文档后立即出现的图形。它表示除非单击“启用内容”按钮,否则无法访问内容。](https://cdn.arstechnica.net/wp-content/uploads/2023/03/enable-editing-enable-content-640x500.jpg)
单击“启用内容”按钮会覆盖此默认设置并允许宏运行。宏观原因...
![知道你的名字并引用你的电子邮件的僵尸网络带着新的伎俩回来了](https://cdn.arstechnica.net/wp-content/uploads/2023/03/email-notification-760x380.jpg)
![僵尸网络谁知道你的名字并引用你的电子邮件并返回新提示](https://cdn.arstechnica.net/wp-content/uploads/2023/03/email-notification-800x534.jpg)
Emotet 僵尸网络被广泛认为是 Internet 的主要威胁之一,它在中断了数月之后又卷土重来,并推出了一些新技巧。
上周,Emotet 在中断四个月后今年首次亮相。他带着他的标志性活动回来了——一波恶意垃圾邮件似乎来自一个已知的联系人,用名字称呼收件人,并似乎回复了一个现有的线程。当 Emotet 从之前的突破中回归时,它带来了旨在逃避端点安全产品并诱骗用户单击链接或激活附加 Microsoft Office 文档中的危险宏的新技术。上周的恢复没有什么不同。
例如,上周二发送的一封恶意电子邮件附加了一个 Word 文档,最后附加了大量多余的数据。结果,该文件超过 500MB,大到足以阻止某些安全产品扫描内容。这种称为二进制填充或文件抽取的技术通过在文档末尾添加零来工作。安全公司的研究人员周一表示,如果有人被诱骗启用宏,捆绑的恶意 Windows DLL 文件也会被抽出,将其从 616 KB 增加到 548.1 MB。趋势科技。
附加文档中发现的另一个逃生技巧:赫尔曼梅尔维尔的经典小说白鲸记的节选,在白页上以白色字体显示,因此文本不可读。某些安全产品会自动标记仅包含宏和图像的 Microsoft Office 文件。隐形文本旨在规避此类软件,而不会引起目标的怀疑。
![](https://cdn.arstechnica.net/wp-content/uploads/2023/03/emotet-moby-dick-640x737.png)
打开时,Word 文档会显示一个图形,表明除非用户单击“启用内容”按钮,否则无法访问内容。去年,Microsoft 开始默认禁用从 Internet 下载的宏。
![打开恶意 Word 文档后立即出现的图形。它表示除非单击“启用内容”按钮,否则无法访问内容。](https://cdn.arstechnica.net/wp-content/uploads/2023/03/enable-editing-enable-content-640x500.jpg)
单击“启用内容”按钮会覆盖此默认设置并允许宏运行。宏观原因...
What's Your Reaction?
![like](https://vidianews.com/assets/img/reactions/like.png)
![dislike](https://vidianews.com/assets/img/reactions/dislike.png)
![love](https://vidianews.com/assets/img/reactions/love.png)
![funny](https://vidianews.com/assets/img/reactions/funny.png)
![angry](https://vidianews.com/assets/img/reactions/angry.png)
![sad](https://vidianews.com/assets/img/reactions/sad.png)
![wow](https://vidianews.com/assets/img/reactions/wow.png)