Emotet惡意軟體家族剛剛新增提取電子郵件功能，從而升級其網路間諜活動的能力。雖然Emotet最近因向美國基礎設施(如水務設施)傳遞勒索軟體而成為頭條新聞，但在過去一個月裡，Emotet大部分時間都處於休眠狀態。然而，在過去的幾天裡，研究人員觀察到一個新模組能夠將電子郵件內容洩露給僵屍網路的運營者。

這種新功能有效地利用了所有現有的Emotet感染電子郵件傳送回攻擊者，能追溯到郵件歷史上180天前的資訊。

本文主要研究新的具備威脅性的有效載荷，實現Emotet批量電子郵件捕獲，檢查滲透過程，並觀察其全球分佈特徵。另外，即使是受保護的系統也可能被這種高階惡意軟體感染。

Emotet電子郵件收集模組簡介

以前的Emotet模組已使用Outlook Messaging API竊取聯絡人列表。該API本質上是一個允許應用程式為電子郵件準備的介面。最常見的MAPI使用情況是簡單MAPI，作為預設Windows Live電子郵件客戶端的一部分包含在Windows中，或者由Outlook和Exchange使用的完整MAPI。換句話說，如果Windows配置充分，此API可讓應用程式訪問電子郵件。

檢查是否被感染的第一步就是看這個配置——DllPathEx- mapi32.dll模組的路徑，特別是 HKLM\Software\Clients\Mail\Microsoft Outlook訪問登錄檔項，如果不是，模組不會繼續。需要關注的登錄檔項非常具體，其他似是而非的項不需要格外關注。

Emotet如何收集你的電子郵件

需要強調的是，此模組可以部署在任何現有的Emotet感染系統中（參見下面的全球威脅跟蹤）並開始收集電子郵件將其傳送回運營者。這意味著Emotet可能會在接下來的幾天內收集數以萬計的受感染系統的無數電子郵件。

以下是該過程的工作原理（另請參見上圖）：

• 受感染的Emotet從命令和控制（C2）伺服器載入模組DLL，並且此DLL將有效負載二進位制檔案注入新的Emotet程序;
• 如上所述，新程序掃描所有電子郵件，並將結果儲存到臨時檔案中;
• 原始模組DLL等待此有效負載完成（或在300秒後終止它），然後完整地讀取臨時檔案;
• 原始DLL使用WinINet API發出HTTP請求，該API將臨時檔案（如果大於116位元組）傳送到C2伺服器。

Emotet全球分佈情況

結論

Emotet已經是一個嚴重的威脅，單次事故造成高達100萬美元的成本，最近在Onslow Water and sewauthority以及其他美國城市釋出了勒索軟體。美國是受影響最大的國家，這與之前關於Emotet的報道是一致的。雖然Emotet的運營者可能只是簡單地轉向伺服器端提取，但是大量收集資料提供了武器化資料驅動的分析能力，鑑於最近電子郵件洩漏的有效性，這種能力不容低估。

防範極其重要，Emotet是有史以來最先進的僵屍網路之一。這些參與者似乎意識到維護和設計非常有彈性和高效的分配系統。企業應該考慮如何立即減少風險並採取行動，並根據這一可操作的情報採取行動。