内容摘要：销声匿迹大约4个月后，老牌恶意软件 Emotet 卷土重来。安全公司 Proofpoint 表示，自 2022 年 11 月初以来，Emotet再度回归电子邮件攻击领域，每天发送数十万封钓鱼邮件，成为

销声匿迹大约4个月后 ，每天名昭老牌恶意软件 Emotet 卷土重来。发送封恶安全公司 Proofpoint 表示，数万自 2022 年 11 月初以来，意邮Emotet再度回归电子邮件攻击领域
，著的再度每天发送数十万封钓鱼邮件，恶意成为所观察到的软件数量最多的攻击者之一。

据悉 ，活跃Emotet上一次活跃的每天名昭时间是在2022年7月  ，源码库此次新的发送封恶活动迹象表明，Emotet正在恢复其作为主要恶意软件系列的数万全部功能。这一次 ，意邮它们的著的再度主要目标区域包括美国、英国、恶意日本  、软件德国 、意大利、法国
、香港云服务器西班牙、墨西哥和巴西 。

在这次新一轮的攻击活动中
 ，Emotet发送的钓鱼邮件通常包含了 Excel 附件或受密码保护的 zip 附件，其中亦包含 Excel 文件 。Excel 文件包含 XL4 宏，可从多个内置 URL 下载 Emotet 负载
 。但由于最近微软宣布开始默认禁用从互联网下载的Office文档中的宏，亿华云许多恶意软件已经开始从Office宏迁移到其他传递机制，如ISO和LNK文件。

虽然 Emotet 采用了旧方法，但仍通过另一种方式 ，即诱使受害者将文件复制到 Microsoft Office一个受信任的位置 ，在此处打卡文件将立即执行宏，且不会发出任何警告 。但在将文件移动到受信任的位置时，操作系统会要求用户拥有管理员权限才能进行此类移动。

虽然总体活动与7月份的类似
 ，模板下载但此次Emotet依然进行了不少更新 ，包括加载程序组件的更改、新命令的添加、更新打包程序以抵抗逆向工程
。值得注意的是 ，Emotet的有效载荷——IcedID加载程序采用了全新的变体 ，不仅能接收命令以读取文件内容 ，云计算将文件内容发送到远程服务器
，还能执行其他后门指令以提取 Web 浏览器数据。研究人员对全新的IcedID感到担忧 ，因为它可能是为勒索攻击做铺垫。

Emotet曾是自2014年至今全球规模最大的恶意软件系列之一。2021年1月，Emotet僵尸网络被执法部门取缔，并于4月25日下发“自毁模块”后被彻底捣毁，C2服务器一度接近瘫痪。建站模板2021年11月 ，Emotet死灰复燃
，开始间断性地进行活动 。