Le botnet Emotet utilise désormais des fichiers de raccourcis Windows (.LNK) contenant des commandes PowerShell pour infecter les ordinateurs des victimes, s’éloignant des macros Microsoft Office qui sont désormais désactivées par défaut.
L’utilisation de fichiers .LNK n’est pas nouvelle, car le gang Emotet les utilisait auparavant en combinaison avec du code Visual Basic Script (VBS) pour créer une commande qui télécharge la charge utile. Cependant, c’est la première fois qu’ils utilisent des raccourcis Windows pour exécuter directement des commandes PowerShell.
Nouvelle technique après une campagne bâclée
Vendredi dernier, les opérateurs d’Emotet ont mis fin à une campagne de phishing parce qu’ils ont bâclé leur programme d’installation après avoir utilisé un nom de fichier statique pour référencer le raccourci malveillant .LNK.
Le lancement du raccourci déclencherait une commande qui extrayait une chaîne de code VBS et l’ajoutait à un fichier VBS à exécuter.
Cependant, comme les fichiers de raccourcis distribués avaient un nom différent de celui statique qu’ils recherchaient, il ne parviendrait pas à créer correctement le fichier VBS. Le gang a réglé le problème hier.
Aujourd’hui, les chercheurs en sécurité ont remarqué qu’Emotet est passé à une nouvelle technique qui utilise les commandes PowerShell jointes au fichier LNK pour télécharger et exécuter un script sur l’ordinateur infecté.
La chaîne malveillante ajoutée au fichier .LNK est masquée et complétée par des valeurs nulles (espace vide) afin qu’elle ne s’affiche pas dans le champ cible (le fichier vers lequel pointe le raccourci) de la boîte de dialogue des propriétés du fichier.
Le fichier .LNK malveillant d’Emotet inclut les URL de plusieurs sites Web compromis utilisés pour stocker la charge utile du script PowerShell. Si le script est présent à l’un des emplacements définis, il est téléchargé dans le dossier temporaire du système en tant que script PowerShell avec un nom aléatoire.
Vous trouverez ci-dessous la version désobscurcie de la chaîne malveillante Emotet attachée à la charge utile .LNK :
Ce script génère et lance un autre script PowerShell qui télécharge le malware Emotet à partir d’une liste de sites compromis et l’enregistre dans le dossier %Temp%. La DLL téléchargée est ensuite exécutée à l’aide de la commande regsvr32.exe.
L’exécution du script PowerShell se fait à l’aide de l’utilitaire de ligne de commande Regsvr32.exe et se termine par le téléchargement et le lancement du logiciel malveillant Emotet.
Chercheur en sécurité Max Malyutin indique qu’en plus d’utiliser PowerShell dans les fichiers LNK, ce flux d’exécution est nouveau pour le déploiement de logiciels malveillants Emotet.
Une nouvelle technique en plein essor
Le groupe de chercheurs Cryptolaemus, qui surveille de près l’activité d’Emotet, note que la nouvelle technique est une tentative claire de l’acteur menaçant de contourner les défenses et la détection automatisée.
Les chercheurs en sécurité de la société de cybersécurité ESET ont également remarqué que l’utilisation de la nouvelle technique Emotet avait augmenté au cours des dernières 24 heures.
Les données de télémétrie d’ESET montrent que les pays les plus touchés par Emotet via la nouvelle technique sont le Mexique, l’Italie, le Japon, la Turquie et le Canada.
Outre le passage à PowerShell dans les fichiers .LNK, les opérateurs de botnet Emotet ont apporté quelques autres modifications depuis qu’ils ont repris leur activité à des niveaux plus stables en novembre, comme le passage aux modules 64 bits.
Le malware est généralement utilisé comme passerelle pour d’autres malwares, en particulier les menaces de ransomware comme Conti.