从暑假回来的情感网络钓鱼僵尸网络

多家公司的网络安全威胁研究人员据报道，在明显的夏季海拔地区持续三个半月后，多产的情感电子邮件Trojan-Trose-Botnet重新出现为对收件箱的积极威胁。

过去几年的最广泛分布且危险的电子邮件攻击之一，该复兴开始于9月16日星期一早上开始，击中欧洲和美国的目标，最新攻击首次引入西班牙语和意大利语言变体。

Malwarebytes的威胁研究人员表示，僵尸网络正在准备在观察命令和控制（C2）服务器活动后准备掀起其活动，并且他们现在观察到了大量的网络钓鱼电子邮件，通常在主题下观察到的大量网络钓鱼电子邮件线“付款汇款建议”。

复杂的矛网络钓鱼电子邮件经常为受害者个性化，并诱导目标打开附加或链接的文件 - 通常是Microsoft Word - 并使宏可以从受损网站下载Modetet。这些网站报告的Malwarebytes通常在WordPress内容管理系统（CMS）上运行，尽管其他传递技术（如下载脚本）也在使用中。

然后，受感染的终点将横向传播到同一网络上的其他端点，从已安装的应用程序和垃圾邮件联系人列表窃取凭证。它还用作其他更危险的赎金软件有效载荷的传送机制。

威胁研究和检测高级总监Sherrod dolppo表示，运营商推出了一个中型的活动 - 数十万条消息 - 9月16日，奥地利，瑞士，德国，西班牙，英国，意大利，波兰和该组织我们。

“这是值得注意的，因为情绪是过去一年中最具破坏性的威胁之一，具有一贯的大规模运动，”她说。“虽然诱饵通常不复杂，但它们是本地化和地理靶向的;最初使用的恶意软件是最近使用的，以便下载其他恶意软件（包括银行家），并将垃圾邮件分发，用于推出额外的攻击和窃取凭据。“

Dolpppo指出，虽然这种威胁的犯罪分子向下来并造成攻击并发展他们的攻击并不罕见，但甚至有时候要休闲，但肌肉中断的长度有点不寻常，特别是威胁威胁。

Colin Grady，William Largent和Jaeson Schultz的思科的Talos威胁研究团队表示，它首次亮相的五年作为银行木牌，Modtet现在已经发展成为世界上最危险的僵尸网络和恶意软件滴注者。

然而，他们说Talos已经有多个妥协指标（IOC）来保护其客户，并且过去的Snort入侵检测系统覆盖率仍然有效，以及传统的安全最佳实践，如没有打开意外附件开始，存在警惕的电子邮件似乎是对旧线程的意外回复，或者在否则脱离上下文，使用更强大的密码，如果提供的话，选择多个存储器身份验证。

“剧烈的自我传播中心围绕其使用社会工程垃圾邮件，”Trio在Checisco Talos安全博客上写道，“情绪最为狡猾的自我传播中心。”“乐象重用被盗电子邮件内容非常有效。一旦他们刷了受害者的电子邮件，ModeTet就会构建新的攻击消息，以回复一些受害者的未读电子邮件，引用线程中的真实消息的体。“

“很容易看出有人期待电子邮件的一部分，作为正在进行的谈话的一部分可能会落下这样的东西，这是Modtet在通过电子邮件传播本身的原因的一部分。通过接管现有的电子邮件对话，包括真实主题标题和电子邮件内容，消息变得更加随机化，更难以过滤抗ASTPAM系统。“

Francis Gaffney，Mimecast威胁情报和反应主任表示：“组织应确保他们拥有可信赖的防病毒解决方案，这是一项可信赖的防病毒解决方案，该解决方案保持最新，并且用户旨在意识到此时正在专门针对发票。这些竞选基本上依赖于人为错误，为他们工作，超过90％的违规行为。更了解当前威胁您的员工或员工的员工是单击或激活恶意链接的可能性较少。“

Gaffny表示，通过离线方法验证电子邮件的出处的重要性，如电话甚至亲自，无法降低对肌电情绪的保障措施。

他还强调了Modtet现在用作其他形式恶意软件的下载器。“Myprimary关注它是它介绍了赎金软件攻击，特别是Ryuk。然而，如果在检测到，如果可以尽快纠正任何情绪感染，则会有一个重要的机会窗口。这可能会阻止任何后续的赎金软件攻击发展，如果迅速行动。

“我会推荐任何有关的人，或者希望获得有关这一威胁的进一步资料，访问国家网络安全中心（NCSC）网站，并阅读他们的6月份与Ryuk Ransomware的咨询。我建议任何人都认为，请考虑从未经验证的来源收到的任何文件以及请求您的“激活宏”的文件应该被忽略。这可能是最常见的感染手段，“Gaffney说。

Cisco Talos团队得出结论：“情绪多年来一直存在，这种重新出现也不令人惊讶。好消息是与爱乐保护的相同建议仍然存在。

“这也是识别安全研究人员和从业者永远无法从气体中脱离气体的良机。当一个威胁小组沉默时，他们不太可能永远消失。相反，这为威胁小组提供了返回的新IOC，策略，技术和程序或新的恶意软件变体来打开机会，可以避免现有检测。假设威胁不好，这从来没有安全。“