【図表】
出典: https://news.mynavi.jp/techplus/article/20220308-2287917/
【概要】
■感染方法
- 最新の攻撃ではPowerShellは用いられていない
- ExcelマクロはEmotetの本体を外部からDLL形式でダウンロード
- Emotetの本体を、拡張子.ocxのファイルとしてランダムなファイル名で一時保存
- Windowsユーティリティのzippy32を使用してダウンロードしたEmotetを実行
- レジストリキーを作成し攻撃を永続化
■特徴
- ランダムなファイル名
- zippy32プロセスの子プロセスとして起動
【ニュース】
◆日本国内でマルウェア「Emotet」への感染急増中、攻撃プロセスに変化も (マイナビニュース, 2022/03/08 13:31)
https://news.mynavi.jp/techplus/article/20220308-2287917/