本周，安芯网盾监测发现部分客户突遭高频无文件攻击，统计数据显示有超过三万余次攻击行为，该攻击通过钓鱼邮件投放正常Excel，用户打开Excel后将在内存中加载恶意行为，攻击手段较为隐蔽，能够绕过部分安全防护手段，具体攻击分析如下：

1.   通过邮件附件的xls文件传播，用户打开该xls并启用宏后，宏代码会启动cmd.exe。

2.   cmd.exe运行mshta.exe解析某html，下载和执行PowerShell恶意代码。

3.   该恶意代码会将恶意载荷下载到内存并执行，实现无文件攻击。

4.   其最终目的是下载并执行Emotet远控木马，控制被攻陷的主机。

恶意Excel文档进程树如下:

PowerShell恶意代码片段如下：

Emotet于2014年以银行木马的形式出现，主要窃取财务和个人数据。但是，在接下来的几年中，该恶意软件逐渐演变成一个僵尸网络，能够横向感染多个设备。除了僵尸网络之外，Emotet还能充当下载程序，成为其他恶意软件的传播载体。

经安芯网盾安全专家分析，该攻击可导致受害主机被远程控制。在此提醒大家，近期收到可疑邮件后，切勿打开附件，应第一时间联系所在单位的安全运维人员，以免遭受侵害。如有需要，可随时联系安芯网盾，我们将第一时间协助您进行处置。