我们分析了这个新的Emotet行动的运作情况，该行动利用Microsoft Office文件隐藏其恶意行为，影响了拉丁美洲的多个国家。

11月，我们发布了关于正在用于传播Emotet的大型新垃圾邮件行动的警告。考虑到该行动一些拉丁美洲国家的攻击规模，以及在过去几天收到的大量相关询问，我们决定公布一份关于这一传播活动如何运作的简要说明。

近年来，我们已经看到网络犯罪分子通过各种方式利用Microsoft Office套件来传播威胁，从嵌入文件的简单宏到漏洞利用。但是，在本案例中，实现有点不寻常，它包含一个合并到Office文件中的下载程序。这引起了许多用户的困惑，他们要求我们解释其工作原理。

传播始于一封电子邮件，没有任何特别之处。如图1所示，它几乎就是我们习惯在这些攻击系列中看到的那种电子邮件。

图1  – 来自此Emotet攻击系列的一个典型电子邮件

正如我们所料，如果用户决定下载电子邮件附件并打开文档，则会要求他们启用宏。同样，通常情况下，会提供一些这样做的理由。图2显示，在此情形下暗示这是必要的，因为文档是使用Office 365创建的，但实际上它可以执行文件中嵌入的函数。

图2  – 启用宏的请求

显然，这种行为是恶意的。但是，网络犯罪分子在此行动中使用的技巧有几个不同寻常的特征。如果选择查看宏，会发现它不是很大，乍一看，它似乎不是那些尝试连接到网站下载某些内容的已知宏之一。

图3  – 文档中异常紧凑的VBA宏代码

仔细看一下这个宏，很清楚的是它的功能是从一个对象中读取文本。但是对象在哪里？搜索之后，事实证明页面中有一个很难察觉的对象。如果仔细观察图2中页面的左上角，就会看到一个看起来非常小的方形实心黑盒子。如果点开它，就可以看到包含的内容。

图4  – 展开页面中的微小对象显示其内容

实际上，此文本框包含一个“cmd”命令，该命令启动PowerShell脚本，该脚本尝试连接到五个站点，然后下载有效载荷，在本案例中有效载荷是混淆后的Emotet变体。

正如在之前的帖子中所讨论的那样，一旦执行有效载荷，就会在计算机上建立持久性并将其成功报告给C&C服务器。完成初始感染后，会进一步下载，安装攻击模块和辅助载荷，这些载荷在受感染的计算机上执行其他类型的操作。

各种附加模块扩展了危及用户设备的恶意活动范围，以便窃取凭证、在网络上传播自己、收集敏感信息、执行端口转发以及许多其他功能。

虽然这根本不是一种新技术，但是Emotet将其行为隐藏在Word文件中的这种微小变化表明，在隐藏恶意活动并试图破坏用户信息时，网络犯罪分子非常狡猾。深入了解他们可能使用的各种技术，会让防御者在识别这些恶意活动方面更具优势。