Bleeping Computer 網站披露，Emotet 惡意軟件以美國納稅人為目標，冒充美國國稅局向受害者發送 W-9 納稅申報表，進行釣魚活動。

Emotet 作為一款臭名昭著的惡意軟件，主要通過網絡釣魚電子郵件傳播，這些電子郵件包含帶有惡意宏的 Microsoft Word 和 Excel 文檔。在微軟默認阻止下載的 Office 文檔中存在宏后，Emotet 轉而使用帶有嵌入式腳本的 Microsoft OneNote 文件來安裝 Emotet 惡意軟件。

據悉，一旦安裝了 Emotet，該惡意軟件便會竊取受害者的電子郵件，用于未來的回復鏈攻擊，發送更多的垃圾郵件，并安裝其它惡意軟件，為勒索軟件團伙等其它威脅郭建者提供初始訪問權限。

Emotet 為美國稅收做好了“準備”

Emotet 惡意軟件通常使用“主題式”釣魚活動，以搭上假期和年度商業活動的便車，例如當前的美國納稅季。在 Malwarebytes 和 Palo Alto Networks Unit42 安全研究人員觀察到的新網絡釣魚活動中，Emotet 惡意軟件以納稅人為目標，發送附有虛假 W-9 納稅表附件的電子郵件。

Malwarebytes 研究人員發現，威脅攻擊者冒充美國國稅局的“檢查員”，發送標題為“美國國稅局納稅申報表 W-9”的電子郵件。

在這些釣魚電子郵件中有一個名為“W-9 form.ZIP”的 ZIP 存檔，其中包含了一個惡意的 Word 文檔。此Word 文檔已“膨脹”到 500MB 以上，使安全軟件更難檢測到它是惡意的。

冒充國稅局的 Emotet 電子郵件（來源： Malwarebytes）

目前，微軟默認阻止宏，用戶不太可能遇到啟用宏的麻煩，也不太可能使用惡意 Word 文檔感染宏。

Emotet Word 文檔（來源： BleepingComputer）

在 Unit42 Brad Duncan 觀察到的 Emotet 網絡釣魚活動中，攻擊者通過使用帶有嵌入 VBScript 文件的Microsoft OneNote 文檔來繞過這些限制，這些文件安裝了 Emotet 惡意軟件。

此外，網絡釣魚活動使用回復鏈電子郵件，其中包含假裝來自向用戶發送 W-9 表格的業務合作伙伴的電子郵件，如下所示：

帶有惡意的微軟 OneNote 附件的 Emotet 回復鏈電子郵件（來源：Unit42）

所附的 OneNote 文件將假裝受到保護，要求用戶雙擊 "查看 "按鈕，查看文件。但是，隱藏在 "查看 "按鈕下面的是一個 VBScript 文檔，它將被同步啟動。

冒充 W-9 表格的惡意微軟 OneNote 文件（資料來源：BleepingComputer：）

在啟動嵌入式 VBScript 文件時，微軟 OneNote 會警告用戶該文件可能是惡意的。不幸的是，“歷史經驗”告訴我們，許多用戶無視這些警告，只是讓文件運行。

一旦執行，VBScript 將下載 Emotet DLL 并使用 regsvr32.exe 運行它。此后，該惡意軟件現在將悄悄地在后臺運行，竊取電子郵件、聯系人，并等待進一步的有效載荷安裝到設備上。

最后提醒用戶，如果收到任何聲稱是 W-9 或其他稅表的電子郵件，首先應使用本地殺毒軟件掃描這些文件。