Emotet est de retour avec des attaques de spam

Emotet est de retour après une interruption de cinq mois. Les chercheurs ont repéré le malware dans une campagne qui spammait les utilisateurs de Microsoft Office avec des centaines de milliers d’e-mails malveillants.

Le logiciel malveillant est apparu pour la première fois en 2014, mais a depuis évolué pour devenir un botnet à part entière conçu pour voler les informations d’identification de compte et télécharger d’autres logiciels malveillants. Dans le cas le plus récent, il téléchargeait les chevaux de Troie bancaires TrickBot et QakBot.

Après son retour la semaine dernière, le botnet a envoyé plus de 250 000 messages tout au long de la journée à des destinataires de courrier électronique aux États-Unis, au Royaume-Uni, en Argentine, au Brésil, au Canada, au Chili, en Équateur et au Mexique, selon des rapports.

“La nouvelle campagne utilise des tactiques d’Emotet de longue date: comme des e-mails contenant des liens ou des documents avec des macros malveillantes qui exécutent un script PowerShell pour télécharger la charge utile à partir de 5 liens de téléchargement”, selon les chercheurs de Microsoft Security Intelligence sur Twitter.

Les e-mails de spam contiennent soit une URL, soit une pièce jointe, et prétendent envoyer un document en réponse à des fils de discussion existants.

emotet

Un exemple d’e-mail, par exemple, demande aux destinataires de l’e-mail d’ouvrir une pièce jointe intitulée «Formulaire – 17 juillet 2020.doc». Un autre prétend que le document est une facture. Les pièces jointes aux documents contiennent une macro et demandent aux destinataires d’activer le contenu.

Une fois la macro activée, Windows Management Instruction lance alors un PowerShell pour récupérer le binaire Emotet à partir d’un site Web distant. Enfin, la charge utile est exécutée et renvoie une confirmation à l’un des serveurs de commande et de contrôle (C2) d’Emotet.

«Nous avons jusqu’à présent vu plusieurs centaines de pièces jointes et de liens uniques dans des dizaines de milliers d’e-mails dans cette campagne», selon Microsoft. “Les URL de téléchargement pointent généralement vers des sites Web compromis, caractéristique des opérations Emotet.”

Alors que les e-mails malveillants portent diverses caractéristiques des campagnes Emotet, les chercheurs ont noté que des URL malveillantes sont désormais distribuées dans des fichiers PDF, en plus des documents malveillants et des URL malveillantes dans le corps des e-mails, ce qui représente «un changement dans la livraison de la charge utile Emotet», selon les chercheurs de Proofpoint.

Les chercheurs rapportent également qu’Emotet est utilisé comme téléchargeur pour d’autres logiciels malveillants, tels que Qakbot, une souche de type ver de malware dérobeur d’informations qui existe depuis 2009, et TrickBot, un cheval de Troie bancaire populaire.

Les disparitions et apparitions d’Emotet

Emotet a été aperçu pour la dernière fois en Février 2020, dans le cadre d’une campagne qui envoyait des messages SMS prétendant provenir de banques des victimes. Une fois que les victimes ont cliqué sur les liens dans les messages texte, elles sont invitées à partager leurs informations d’identification bancaires et à télécharger un fichier qui infecte leurs systèmes avec le malware. Toujours en Février, des chercheurs ont découvert un échantillon d’Emotet capable de se propager sur des réseaux Wi-Fi non sécurisés situés à proximité d’un appareil infecté.

emotet wifi

En 2019, Emotet a fait une pause similaire, disparaissant au cours de l’été avant de revenir avec d’autres chevaux de Troie bancaires, des voleurs d’informations, des collecteurs d’e-mails, des mécanismes d’auto-propagation et des rançongiciels.

«Le cheval de Troie Emotet était de loin la menace la plus visible et la plus active sur nos radars en 2018 et 2019, jusqu’à ce qu’il entre dans une pause prolongée», ont déclaré les chercheurs de Malwarebytes. «Les vrais dégâts causés par une compromission d’Emotet se produisent lorsqu’il forme des alliances avec d’autres familles de malwares et en particulier des cybercriminels intéressés par la propagation de rançongiciels.»

S’abonner
Notifier de
guest
0 Commentaires
Inline Feedbacks
View all comments
0
Would love your thoughts, please comment.x
()
x