Qu’est-ce qui vient juste de se passer? Le botnet Emotet était mort, du moins le pensaient les chercheurs. Le réseau malveillant est maintenant de retour dans les affaires avec une nouvelle campagne de phishing, exploitant une nouvelle technique pour pousser les utilisateurs et les entreprises à s’infecter.
Après une interruption de 4 mois, Emotet est à nouveau actif comme l’une des opérations de botnet les plus dangereuses du marché. Les cybercriminels utilisent le réseau pour propager des logiciels malveillants et d’autres infections potentielles, avec une nouvelle astuce conçue pour contourner les protections dans les applications Microsoft Office.
Emotet était considéré comme l’une des infections les plus répandues jusqu’en juillet 2022, lorsque le réseau a soudainement arrêté les campagnes de spam et la distribution de logiciels malveillants tiers. Maintenant, le botnet est de retour en “mode distribution”, selon le groupe de recherche Cryptolaemus.
Emotet de retour en mode Distro – À partir de 0800 UTC, E4 a commencé à spammer et à partir de 0930 UTC, E5 a recommencé à spammer. On dirait qu’Ivan a encore besoin d’argent alors il est retourné travailler. Soyez à l’affût des fichiers XLS en pièce jointe directe et des fichiers XLS compressés et protégés par mot de passe. 1 fois
— Cryptolaemus (@Cryptolaemus1) 2 novembre 2022
Le tristement célèbre botnet Emotet a recommencé à spammer le 2 novembre, avec une nouvelle campagne de phishing par e-mail ciblant les chaînes de réponse aux e-mails volés. Le réseau distribue désormais des pièces jointes Excel malveillantes, les envoyant à des utilisateurs parlant différentes langues tout en prétendant être des factures, des scans, des formulaires et d’autres “appâts” engageants. Les logiciels malveillants peuvent également être des archives Zip ou des feuilles de calcul XLS protégées par mot de passe.
La dernière campagne d’Emotet apporte un nouvel outil à l’arsenal du botnet – un modèle Excel qui comprend des instructions pour contourner Microsoft Vue protégée La technologie. La vue protégée marque les fichiers provenant d’Internet avec un indicateur “Mark-of-the-Web”, qui ordonne aux applications Office d’ouvrir lesdits fichiers en mode protégé, évitant ainsi l’exécution directe des macros jointes.
Les instructions de la feuille de calcul malveillante conseillent aux utilisateurs de copier le fichier dans l’un des dossiers de modèles “de confiance” de Microsoft Office. Lorsqu’il est ouvert à partir d’emplacements de confiance, le document malveillant contournera la vue protégée en exécutant les macros incluses et en propageant l’infection Emotet.
Le nouveau logiciel malveillant Emotet se télécharge sous forme de Dll et s’exécute sur le système à l’aide de l’outil légitime Regsvr32.exe. Une fois actif, Emotet reste silencieux, attendant les instructions du serveur de commande et de contrôle du botnet. Pour l’instant, le réseau ne semble pas goutte charges utiles malveillantes supplémentaires comme il le faisait avant son acte de disparition.
L’une des caractéristiques les plus notoires d’Emotet a toujours été la capacité de travailler en partenariat avec d’autres opérations malveillantes, en diffusant des logiciels malveillants dangereux comme TrickBot, Cobalt Strike et autres. Dans le passé, Emotet était une force puissante derrière les attaquants de rançongiciels comme Ryuk, Conti, BlackCat et Quantum. Le botnet a fourni un accès initial aux réseaux et appareils déjà infectés pour faciliter la propagation des rançongiciels.