Emotet Botnet分发自解锁密码保护的Rar文件以丢弃恶意软件

臭名昭著的Emotet僵尸网络已经与新一轮的恶意程序( malspam )运动联系在一起，这些恶意程序利用密码保护的归档文件将CoinMiner和Quasar RAT丢弃在受损系统上。

在Trustwave SpiderLabs研究人员发现的攻击链中，一个以发票为主题的ZIP文件诱饵被发现包含一个嵌套的自解压( SFX )存档，第一个存档充当启动第二个存档的管道。

虽然像这样的网络钓鱼攻击传统上需要说服目标打开附件，但网络安全公司说，该运动通过使用批处理文件自动提供密码来打开负载，从而绕过了这一障碍。

第一个SFX归档文件进一步利用PDF或Excel图标使其看起来是合法的，实际上它包含三个组件：受密码保护的第二个SFX RAR文件、前述启动归档的批处理脚本、诱饵PDF或图像。

研究人员Bernard鲍蒂斯塔和Diana Loper在周四的一次笔记中说，批处理文件的执行导致了潜伏在密码保护的RARsfx [自提取RAR归档文件]中的恶意软件的安装。

批处理脚本通过指定存档的密码和负载将被提取到的目标文件夹来实现这一点，此外还启动了一个命令来显示诱饵文档，以试图隐藏恶意活动。

最后，感染的最终结果是执行CoinMiner，一个加密货币采矿者，它也可以作为一个凭据窃取者，或者Quasar RAT，一个开源的。基于NET的远程访问特洛伊木马，具体取决于打包在存档中的有效负载。

一键式攻击技术也值得注意，因为它有效地跳过了密码障碍，使恶意行为者能够执行广泛的操作，如强制挖矿、数据渗出和赎金。

  Trustwave说，它发现在密码保护的ZIP文件中打包的威胁增加了，其中约96 %是由Emotet僵尸网络分发的。

研究人员说，”自提取存档已经存在了很长时间，并缓解了终端用户之间的文件分发。”但是，由于文件内容不容易被验证，并且可以静默地运行命令和可执行文件，这就带来了安全隐患。