Emotet 僵尸网络分发自解锁受密码保护的 RAR 文件以删除恶意软件

臭名昭著的Emotet 僵尸网络与新一波恶意垃圾邮件活动有关，这些活动利用受密码保护的存档文件将 CoinMiner 和 Quasar RAT 投放到受感染的系统上。

在 Trustwave SpiderLabs 研究人员检测到的攻击链中，发现以发票为主题的 ZIP 文件诱饵包含一个嵌套的自解压 (SFX) 存档，第一个存档充当启动第二个存档的渠道。

虽然像这样的网络钓鱼攻击传统上需要说服目标打开附件，但网络安全公司表示，该活动通过使用批处理文件自动提供密码来解锁有效负载，从而避开了这一障碍。

第一个 SFX 存档文件进一步使用 PDF 或 Excel 图标使其看起来合法，而实际上它包含三个组件：受密码保护的第二个 SFX RAR 文件，上述启动存档的批处理脚本，以及诱饵 PDF 或图像。

研究人员 Bernard Bautista 和 Diana Lopera 在周四的一篇文章中说：“批处理文件的执行会导致安装潜伏在受密码保护的 RARsfx [自解压 RAR 存档] 中的恶意软件。”

批处理脚本通过指定存档的密码和将提取有效负载的目标文件夹来实现这一点，此外还启动了一个命令来显示诱饵文档以试图隐藏恶意活动。

最后，感染在执行 CoinMiner 时达到高潮，CoinMiner 是一种加密货币矿工，也可以兼作凭据窃取器，或Quasar RAT是一种基于开源 .NET 的远程访问木马，具体取决于存档中打包的有效负载。

一键式攻击技术也值得注意，因为它有效地跳过了密码障碍，使恶意行为者能够执行广泛的行动，例如加密劫持、数据泄露和勒索软件。

Trustwave 表示，它发现打包在受密码保护的 ZIP 文件中的威胁有所增加，其中约 96% 是由 Emotet 僵尸网络分发的。

研究人员说：“自解压档案已经存在了很长时间，并简化了最终用户之间的文件分发。” “但是，它会带来安全风险，因为文件内容不易验证，并且可以静默运行命令和可执行文件。”