Le malware Emotet connaît une explosion de sa distribution et devrait bientôt passer à de nouvelles charges utiles qui sont actuellement détectées par moins de moteurs antivirus.
Les chercheurs en sécurité surveillant le botnet observent que les e-mails contenant des charges utiles malveillantes le mois dernier ont décuplé.
Emotet est un cheval de Troie modulaire à propagation automatique qui peut maintenir la persistance sur l’hôte. Il est utilisé pour voler des données utilisateur, effectuer une reconnaissance du réseau, se déplacer latéralement ou déposer des charges utiles supplémentaires telles que Cobalt Strike et des ransomwares en particulier.
Il a été repéré en croissance lente mais régulière depuis le début de l’année, mais ses opérateurs sont peut-être en train de passer à la vitesse supérieure.
Pic de distribution
Selon un rapport publié aujourd’hui par Kaspersky, l’activité d’Emotet connaît une forte augmentation de février à mars, passant de 3 000 à 30 000 e-mails.
Les langues utilisées dans ces messages sont l’anglais, le français, le hongrois, l’italien, le norvégien, le polonais, le russe, le slovène, l’espagnol et le chinois.
En ce qui concerne les thèmes, les distributeurs Emotet sont connus pour changer régulièrement les sujets afin de profiter des accélérations saisonnières de l’intérêt. Cette fois, c’est la fête de Pâques dont ils profitent.
Point de contrôle a également publié un rapport, qui a classé Emotet comme le logiciel malveillant le plus répandu et le plus actif en mars 2022.
(point de contrôle)
Kaspersky mentionne que les campagnes de distribution de courrier électronique Emotet en cours utilisent également des astuces de détournement de fil de discussion, vues dans les campagnes Qbot liées aux mêmes opérateurs.
« Les cybercriminels interceptent la correspondance déjà existante et envoient aux destinataires un e-mail contenant un fichier ou un lien, ce qui conduit souvent à un service d’hébergement cloud populaire légitime », Kaspersky
« Le but de l’e-mail est de convaincre les utilisateurs soit (i) de suivre le lien et de télécharger un document archivé et de l’ouvrir – parfois en utilisant un mot de passe mentionné dans l’e-mail, soit (ii) d’ouvrir simplement une pièce jointe à un e-mail », notent les chercheurs. .
Étant donné que les acteurs de la menace ont accès à la correspondance précédente, il leur est relativement facile de présenter la pièce jointe comme quelque chose que le destinataire s’attendrait à voir dans la suite de la discussion avec des collègues.
Passer au 64 bits
Le Cryptolème Le groupe de recherche sur la sécurité, qui surveille de près l’activité du botnet Emotet, a déclaré que les opérateurs de logiciels malveillants sont également passés aux chargeurs 64 bits et aux modules de vol sur Epoch 4, l’un des sous-groupes du botnet qui s’exécutent sur une infrastructure distincte. Auparavant, il s’appuyait sur du code 32 bits.
#Emotet Mise à jour – On dirait qu’Ivan a pondu un œuf pour Pâques et a été occupé. À environ 14h00 UTC aujourd’hui 2022/04/18 – Emotet sur Epoch 4 est passé à l’utilisation de chargeurs 64 bits et de modules de vol. Auparavant, tout était en 32 bits, à l’exception des manigances occasionnelles du chargeur. 1/x— Cryptolaemus (@Cryptolaemus1) 19 avril 2022
Le Switch n’est pas visible à l’époque 5, mais le retard est attendu, car l’époque 4 sert généralement de banc d’essai de développement pour les opérateurs Emotet, selon les chercheurs de Cryptolaemus.
Déjà, le taux de détection pour l’époque 4 a chuté de 60 %, ce qui serait le résultat direct de ce changement.