在当今的网络安全领域，Emotet僵尸网络是最大的垃圾邮件来源之一。该术语用来描述传递带有恶意软件标记的文件附件的电子邮件。

这些垃圾邮件运动 对于 Emotet运营商绝对至关重要。

它们是支撑僵尸网络的基础，为Emotet机器提供了新的受害者，Emotet机器是一种恶意软件即服务(MaaS)网络犯罪活动，已出租给其他犯罪集团。

为了防止安全公司追赶并将其电子邮件标记为“恶意”或“垃圾邮件”，Emotet小组会定期更改这些电子邮件的发送方式和文件附件的外观。

Emotet操作员更改电子邮件主题行，电子邮件正文中的文本，文件附件类型以及文件附件的内容，这与电子邮件的其余部分一样重要。

这是因为收到Emotet垃圾邮件的用户除了阅读电子邮件和打开文件外，还需要允许文件执行称为“宏”的自动脚本。只有在用户按下Office文件中显示的“启用编辑”按钮后，Office宏才会执行。

诱骗用户启用编辑对恶意软件操作员而言，与其电子邮件模板，恶意软件或僵尸网络的后端基础结构的设计一样重要。

多年来，Emotet开发了一系列诱骗的Office文档，这些文档使用了各种各样的“浆液”来说服用户单击“启用编辑”按钮。

这包括：

声称它们已在不同平台(例如Windows 10移动版，Android或iOS)上编译的文档，并且用户需要启用编辑才能显示内容。

声称它们已在Office的较早版本中编译的文档，并且用户需要启用内容的编辑功能。

声称处于保护视图中并要求用户启用编辑的文档。(具有讽刺意味的是，“受保护的视图”机制是一个阻止宏，并显示“启用编辑”按钮/限制。)

声称包含敏感或有限分发材料的文档，只有在用户启用编辑后，这些材料才可见。

显示伪造的激活向导并声称Office激活已完成并且用户只需单击启用编辑即可使用Office的文档;还有很多。

但是这周，Emotet带着一个新文件的诱惑从一个最近的假期来到。

在最近的Emotet活动中发送的文件附件显示一条消息，声称来自Windows Update服务，告诉用户Office应用程序需要更新。自然，必须通过单击“启用编辑”按钮(不要按下它)来完成此操作。

根据  Cryptolaemus小组的最新消息，从昨天开始，这些Emotet诱饵已向全球各地的用户大量散发垃圾邮件。

根据此报告，Emotet在某些受感染的主机上安装了TrickBot木马，证实了本周早些时候ZDNet的报告， 即TrickBot僵尸网​​络在 Microsoft及其合作伙伴最近的入侵尝试中幸存下来。

这些被欺骗的文档是从带有欺骗性身份的电子邮件中发送的，这些电子邮件似乎来自熟人和业务合作伙伴。

此外，Emotet经常使用一种称为会话劫持的技术，通过这种技术，它可以从受感染的主机窃取电子邮件线程，并通过欺骗参与者之一的回复将自身插入到线程中，并添加被诱骗的Office文档作为附件。

很难采用这种技术，尤其是在每天处理商务电子邮件的用户中，这就是Emotet经常设法定期感染公司或政府网络的原因。

在这种情况下，培训和意识是预防Emotet攻击的最佳方法。定期处理电子邮件的用户应意识到在文档中启用宏的危险，该功能很少用于合法目的。

知道典型的Emotet诱饵文档的样子也是一个不错的开始，因为当这些电子邮件之一进入收件箱时，即使来自已知的通讯录，用户也可以躲避最常见的Emotet技巧。