Emotet新增郵件竊取模塊

Emotet惡意軟體家族最近因將勒索軟體payload傳播到美國的基礎設施而登上頭條。研究人員最近就發現殭屍網路運營者新加的一個能夠竊取郵箱內容的模塊。

這一新功能能夠有效利用現有的Emotet感染情況，將受感染用戶系統中的郵件內容竊取並發回給殭屍網路運營者。該功能能夠有效獲取郵箱列表中180天內的郵件，並發回給攻擊者。

郵件信息竊取模塊

之前的Emotet模塊已經使用Outlook Messaging API來竊取通訊錄列表。MAPI使用最常用的例子就是Simple MAPI和完全MAPI，Simple MAPI是Windows默認Windows Live郵件客戶端的一部分，完全MAPI是Outlook和Exchange使用的。也就是說，該API可以在配置合理的情況下使應用可以訪問郵件。

配置也是該模塊首先檢查的。訪問註冊表HKLMSoftwareClientsMailMicrosoft Outlook，到mapi32.dll模塊的路徑DllPathEx需要進行定義。註冊表是非常明確的，有許多的看似真實的key該模塊並不會關注，比如HKLMSoftwareClientsMailWindows Mail。

對每封郵件，模塊會收集：

·發件人姓名和郵箱；

·收件人姓名和郵箱。

這個新的模塊更加全面，還包括郵件的主題和主體部分。會爬取interpersonal message (IPM) 根目錄下的每個子文件夾的郵件：

·如果是，就獲取發件人(PR_SENDER_NAME_W, PR_SENDER_EMAIL_ADDRESS_W)、收件人(PR_RECEIVED_BY_NAME_W, PR_RECEIVED_BY_EMAIL_ADDRESS_W)、主題(PR_SUBJECT_W)和主體(PR_BODY_W)。

·如果主體部分超過16384個字元，就會被縮短為16384個字元加上該字元串……

然後會在全局鏈接列表中添加一個含有上述郵件信息的結構，並用Base64編碼寫入一個臨時文件。

攻擊原理

攻擊步驟圖

需要強調的是，該模塊被應用到已被Emotet感染的系統中，並開始竊取郵件並發回給攻擊者。過去的幾天，Emotet大約竊取了上萬個被感染系統的無數封郵件。

下面看一下其工作原理：

·受感染的Emotet 的會從C2伺服器載入模塊DLL， DLL會將payload二進位文件注入到新的Emotet進程中；

·新進程會掃描所有郵件，並將結果保存到臨時文件中；

·原始的模塊DLL會等payload執行結束（或300秒後殺掉該進程），然後讀取臨時文件；

·原始DLL會用WinINet API發布一個發送臨時文件到C2伺服器的HTTP請求。

Emotet的全球威脅追蹤圖

結論

Emotet已經成為一個嚴重的威脅，最近在美國的城市使用勒索軟體，已造成超過100萬美元的損失。美國是受Emotet影響最嚴重的國家之一。而Emotet的運營者開始轉移到服務端提取，郵件泄露帶來的危害也不容小覷。Emotet是迄今為止最高級的殭屍網路之一，企業應該盡量減少暴露的威脅點，利用可以幫助做出明智決策的情報信息。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！