最近，腾讯安全情报中心监测到Emotet银行木马针对国内的攻击呈明显上升趋势，此次攻击主要是利用大量群发钓鱼邮件，其邮件内容伪装成各种类型的商务往来信息，包括：发票交易、收据、会议邀请等。从事进出口贸易的企业是Emotet银行木马的主要目标。那么，Emotet是什么呢，怎预防呢？下面我们就来聊聊关于Emotet的信息。

　　一、背景

　　Emotet具有用于进行银行欺诈的模块，主要针对德国，奥地利和瑞士的银行进行攻击，多年来，该恶意软件被全球安全厂商归类为银行木马。

　　Emotet攻击具有以下特点：

　　1.钓鱼邮件利用恶意宏代码下载攻击载荷;

　　2.钓鱼邮件使用德语、西班牙语、波兰语、英语等多种语言;

　　3.攻击者伪造大量虚假邮箱作为发件人(超过100个，详见IOCs);

　　4.攻击载荷Emotet会继续下载其他银行木马作为Payload;

　　5.银行木马能够检测用户银行登录行为，通过读取隐私数据获取账号密码登录信息，甚至通过注入恶意代码到交互页面，从而在用户进行网银相关操作时盗取帐户资产。

　　统计数据，Emotet针对国内的钓鱼邮件攻击最严重地区为广东、北京、浙江、上海等地。数据显示近期Emotet木马针对国内的攻击呈明显上升趋势，从事进出口贸易的企业是Emotet银行木马的主要目标。

　　二、详细分析

　　本次钓鱼邮件的发件人地址：

　　6120170110@bit.edu.cn

　　administracion.taqueriaportalc@lacerveceria.com.mx

　　alineoliveira@indubras.com.br

　　nikki.fenn@opus-ing.com

　　pampaycoiron@martinic.cl

　　aamartinez@aceitesa.com

　　marcus@rodojaboti.com.br

　　allem.barrera@dineroinmediato.com.mx

　　manager@ambienzholidays.com.my

　　xuan.kee@drspecs.my

　　gerencia@yourbeauty.com.pa

　　aclaros@idecoas.gob.hn

　　secplac@munisanesteban.cl

　　e.nurbekov@ifce.kz

　　nela.valerio@megamira.pt

　　solivo@mundodeportivo-ec.com

　　tstager@envirocare.cl

　　rikj@cdtmail.com

　　estimating@rjsheetmetal.com

　　thomas@szmadic.com

　　gladston.pereira@gsinternacional.com.br

　　armandofazzini@vodamail.co.za

　　us-west-2.amazonses.com#ipadilla@aaa.com.do

　　coscomatepecauxiliar@tiendaslores.com

　　kobusjcj@vodamail.co.za

　　contabilidad@conterra.co

　　careers@innovatechltd.com

　　sadique.m@gconoil.com

　　jrlopez@hodelpa.com

　　syful@comillaonline.com

　　bryan.mairena@movistar.com.ni

　　doris.reveco@ssbiobio.cl

　　aramirez@derm-clar.com

　　nfwangdong1@yili.com

　　alejandra.osorno@ingevias.com

　　sales@cmm.com.do

　　dian.candra@anggadaperkasa.co.id

　　afiliacion@gruposap.com.co

　　eromero@dislupor.com

　　operaciones@motorcitysv.com

　　jclugo@nanodepot.mx

　　jorge.castillo@wappcom.com

　　wahome@wytech.co.ke

　　c-gaihan@gankofood.co.jp

　　rosa.vasquez@redsalud.gob.cl

　　ulises@trademarket.com.mx

　　conciliacion@conciencia.com.do

　　lokeshwaris@jeevica.com

　　mauricio@tmedia.cl

　　administracion@farmapana.com

　　sigorta@yakupoto.com

　　matiasdupleich@estudiodupleich.com.ar

　　vmmair@poncacity.net

　　administracion@ferraroyasoc.com.ar

　　accounts_rjy@leelakrishnatoyota.in

　　anniey@humanresourcesonline.net

　　stephy@sltnet.lk

　　operaciones@vanseguridad.com

　　econtabilidad@ferrecenca.com

　　info@ospt.com.ec

　　juanmanuel.ortiz@bakity.com

　　asistentecontable@transportdiesel.com.ec

　　marketing@tang-fashion.com

　　imran@americanwater.lk

       ......

　　三、安全建议

　　1、我们建议企业邮箱网管根据本文末尾提供的IOCs信息，将危险发件人邮箱设置为黑名单;

　　2、升级office系列软件到最新版本，及时修复office组件漏洞，除非确认文档来源可靠，否则不要启用宏;

　　3、建议企业通过培训，教育员工不要打开不明来源的邮件附件，对于附件中的文件要谨慎打开，如果附件是可执行程序，一定不要随意运行;

　　4、推荐部署腾讯御点终端安全管理系统防御病毒木马攻击;

　　5、使用腾讯御界高级威胁检测系统检测未知黑客的各种可疑攻击行为。御界高级威胁检测系统，是基于腾讯反病毒实验室的安全能力、依托腾讯在云和端的海量数据，研发出的独特威胁情报和恶意检测模型系统。

　　企业邮箱的安全对于企业来说尤其重要，关系到企业重要数据。腾讯安全以腾讯安全大脑为核心，构建了一套自适应的闭环安全防护体系，包含基础安全防护体系，安全运营中心、业务安全服务体系等，其产品矩阵涉及终端安全、网络安全、云安全、业务安全、数据安全、安全管理、安全服务等多个方向。腾讯邮箱全方位的为企业邮件保驾护航。