Julien
La campagne de phishing par malware Emotet est à nouveau opérationnelle après que les acteurs de la menace ont corrigé un bug empêchant les personnes d’être infectées lorsqu’elles ouvraient des pièces jointes malveillantes.
Emotet est une infection malveillante distribuée par le biais de campagnes de spam avec des pièces jointes malveillantes. Si un utilisateur ouvre la pièce jointe, des macros ou des scripts malveillants téléchargeront la DLL Emotet et la chargeront en mémoire.
Une fois chargé, le logiciel malveillant recherchera et volera des e-mails à utiliser dans de futures campagnes de spam et déposera des charges utiles supplémentaires telles que Cobalt Strike ou d’autres logiciels malveillants qui conduisent généralement à des attaques de ransomwares.
Les pièces jointes de buggy ont brisé la campagne Emotet
Vendredi dernier, les distributeurs de logiciels malveillants Emotet ont lancé une nouvelle campagne de courrier électronique comprenant des pièces jointes de fichiers ZIP protégées par mot de passe contenant des fichiers Windows LNK (raccourci) prétendant être des documents Word.
Source : Cofense
Lorsqu’un utilisateur double-clique sur le raccourci, il exécute une commande qui recherche dans le fichier de raccourci une chaîne particulière contenant du code Visual Basic Script, ajoute le code trouvé à un nouveau fichier VBS et exécute ce fichier VBS, comme indiqué ci-dessous. .
La source: EZpublish-france.fr
Cependant, cette commande contenait un bug car elle utilisait un nom de raccourci statique de ‘Password2.doc.lnk’, même si le nom réel du fichier de raccourci joint est différent, comme ‘INVOICE 2022-04-22_1033, USA.doc’.
Cela a provoqué l’échec de la commande, car le fichier Password2.doc.lnk n’existait pas, et donc le fichier VBS n’a pas été créé, comme l’explique le groupe de recherche Emotet Cryptolaemus.
#emotet Mise à jour – Depuis quelques heures, Ivan exécute des tests sur E4 pour essayer de contourner la détection en ajoutant un VBS à la fin d’un fichier LNK dans un zip. Le LNK, lorsqu’il est lancé, trouvera une chaîne en lui-même, puis copiera le reste de cette chaîne après dans un fichier VBS. 1 fois https://t.co/pEcOWdbfOa
— Cryptolaemus (@Cryptolaemus1) 22 avril 2022
Chercheur Cryptolaemus Joseph Rosen a déclaré à BleepingComptuer qu’Emotet a arrêté la nouvelle campagne d’e-mails vers 00h00 UTC vendredi après avoir découvert que le bug empêchait les utilisateurs d’être infectés.
Malheureusement, Emotet a corrigé le bug aujourd’hui et, une fois de plus, a commencé à spammer les utilisateurs avec des e-mails malveillants contenant des fichiers zip protégés par mot de passe et des pièces jointes de raccourci.
Ces raccourcis font désormais référence aux noms de fichiers corrects lors de l’exécution de la commande, ce qui permet de créer correctement les fichiers VBS et de télécharger et d’installer le logiciel malveillant Emotet sur les appareils des victimes.
La source: EZpublish-france.fr
Entreprise de sécurité des e-mails Cofense a déclaré à EZpublish-france.fr que les pièces jointes utilisées dans les campagnes Emotet d’aujourd’hui sont :
form.zip Form.zip Electronic form.zip PO 04252022.zip Form - Apr 25, 2022.zip Payment Status.zip BANK TRANSFER COPY.zip Transaction.zip ACH form.zip ACH payment info.zip
Si vous recevez un e-mail contenant des pièces jointes similaires protégées par un mot de passe, il est fortement déconseillé de les ouvrir.
Au lieu de cela, vous devez contacter vos administrateurs réseau ou de sécurité et les laisser examiner la pièce jointe pour déterminer si elle est malveillante ou non.