在这段假期以来，Emotet进入了活动的低谷期。假期过后，Emotet携带新的payload通过恶意垃圾邮件活动再度来袭。

垃圾邮件信息会诱使使用多种不同语言的目标用户打开一个含有恶意代码的附件文档，代码运行后会安装恶意软件。

一些垃圾邮件中含有到恶意软件的直接链接信息，如下图所示：

Emotet进一步发展

Emotet恶意软件一直在不断的进化中，该新变种会检查接收者或受害者的IP地址是否在黑名单中，或者是否在Spamhaus, SpamCop, SORBS等服务维护的垃圾邮件列表中。

通过检查攻击者就可以绕过垃圾邮件过滤器，向受害者成功发送更多的垃圾邮件。为了能够更成功的绕过垃圾邮件检测，Emotet还可以修改发送的垃圾邮件主题，该技术也在过去的攻击活动中出现过。

重定向动作

新变种的另一个变化是使用了HTTP 301重定向。研究人员对此非常迷惑，因为重定向指向的是相同的URL。

这两个下载请求唯一的不同是，第一个请求在header中有一个keep-alive消息，而第二个请求没有该消息。

恶意软件大量出现在被黑的网站上，用作恶意垃圾邮件活动的随机保存位置。

经典传播方法

受害者是通过一个财务金融相关的word文档中隐藏的恶意宏文件来接收恶意软件的。

首先，受害者在系统上加载恶意文档；

然后，嵌入的宏代码会在系统上下载和安装恶意软件。

在这一过程中，首先调用PowerShell来与Emotet的分发中心通信来获取payload。下载后，恶意软件就会应用在受害者电脑上。

Emotet最开始只是含有一些银行木马的功能，虽然恶意软件的不断进化和发展，目前可以传播包括银行木马、信息窃取器、收集邮件的恶意软件和勒索软件在内的多种payload。

研究人员称Emotet的这些特征会让其成为网络犯罪恶意软件图谱的top级恶意软件。

Emotet新变种详细技术分析参见：https://blog.talosintelligence.com/2019/01/return-of-emotet.html