En 2021, le réseau autour d'Emotet a été démantelé. Mais cela ne signifie pas qu'Emotet a complètement disparu du Web. Au contraire : il y a toujours des signes que le groupe autour d'Emotet cherche de nouvelles voies d'attaque.
Depuis son retour, Emotet est apparu dans plusieurs campagnes de spam. Mealybug, le groupe de hackers à l'origine du botnet, a développé de nombreux nouveaux modules et révisé ceux qui existent déjà. Les cerveaux derrière Emotet ont beaucoup appris du démontage il y a deux ans et ont investi beaucoup de temps pour empêcher la découverte de leur botnet.
L'infrastructure d'Emotet est morte - le malware vit
Lors de sa dernière opération, des cibles en Italie, en Espagne, au Japon, au Mexique et en Afrique du Sud ont été attaquées. Depuis avril 2023, les activités d'Emotet sont suspendues. Les chercheurs d'ESET soupçonnent les pirates de rechercher de nouveaux vecteurs d'attaque.
« Emotet se propage via des spams. Le logiciel malveillant peut voler des informations sensibles sur des ordinateurs compromis et y injecter des logiciels malveillants tiers. Les opérateurs d'Emotet ne sont pas très pointilleux sur leurs objectifs. Ils installent leurs logiciels malveillants sur les systèmes des particuliers ainsi que des entreprises et des grandes organisations », explique le chercheur d'ESET Jakub Kaloč, qui a participé à l'analyse.
Emotet devait trouver un nouveau vecteur d'attaque
De fin 2021 à mi-2022, Emotet s'est propagé principalement via des macros VBA dans des documents Microsoft Word et Excel. En juillet 2022, Microsoft a changé la donne pour toutes les familles de logiciels malveillants comme Emotet et Qbot - qui avaient utilisé des e-mails de phishing avec des documents malveillants comme méthode de propagation - en désactivant les macros VBA dans les documents extraits d'Internet.
« L'arrêt du principal vecteur d'attaque d'Emotet a incité ses opérateurs à rechercher de nouvelles façons de compromettre leurs cibles. Mealybug a commencé à expérimenter avec des fichiers LNK et XLL malveillants. Cependant, alors que 2022 touchait à sa fin, les opérateurs d'Emotet ont eu du mal à trouver un nouveau vecteur d'attaque aussi efficace que les macros VBA. En 2023, ils ont mené trois campagnes de spam différentes, chacune testant une voie d'intrusion légèrement différente et une technique d'ingénierie sociale différente », explique Kaloč. "Cependant, la portée réduite des attaques et les changements constants d'approche peuvent indiquer un mécontentement face aux résultats." Emotet a ensuite intégré un leurre dans Microsoft OneNote. Malgré les avertissements à l'ouverture indiquant que cette action pourrait entraîner un contenu malveillant, les utilisateurs ont cliqué dessus.
Les criminels continuent de développer Emotet
Après sa réapparition, Emotet a reçu plusieurs mises à jour. Les caractéristiques les plus notables étaient que le botnet a changé son schéma cryptographique et a mis en œuvre plusieurs nouvelles obfuscations pour protéger ses modules. Depuis leur retour, les opérateurs d'Emotet ont fait des efforts considérables pour empêcher que leur botnet ne soit surveillé et suivi. De plus, ils ont mis en place plusieurs nouveaux modules et amélioré les modules existants pour rester rentables.
Emotet est distribué via des spams. Les gens font souvent confiance à ces messages parce que les criminels utilisent avec succès des techniques spéciales pour détourner les historiques de conversation dans les e-mails. Avant le retrait, Emotet utilisait des modules que nous appelons Outlook Contact Stealer et Outlook Email Stealer, qui étaient capables de voler des e-mails et des informations de contact à partir d'Outlook. Cependant, comme tout le monde n'utilise pas Outlook, après son retour, Emotet s'est également concentré sur une application de messagerie alternative gratuite : Thunderbird. En outre, il a commencé à utiliser le module Google Chrome Credit Card Stealer, qui vole les informations de carte de crédit stockées sur le navigateur Google Chrome.
Selon la télémétrie ESET et l'impression des chercheurs, les botnets Emotet sont silencieux depuis début avril 2023. Cela est probablement dû à la découverte d'un nouveau vecteur d'attaque efficace. Le Japon (2022%), l'Italie (43%), l'Espagne (13%), le Mexique (5%) et l'Afrique du Sud (5%) ont été ciblés par la plupart des attaques détectées par ESET depuis janvier 4 à ce jour.
Plus sur ESET.com
À propos d'ESET ESET est une société européenne dont le siège est à Bratislava (Slovaquie). Depuis 1987, ESET développe des logiciels de sécurité primés qui ont déjà aidé plus de 100 millions d'utilisateurs à profiter de technologies sécurisées. Le large portefeuille de produits de sécurité couvre toutes les principales plates-formes et offre aux entreprises et aux consommateurs du monde entier l'équilibre parfait entre performance et protection proactive. La société dispose d'un réseau de vente mondial dans plus de 180 pays et de bureaux à Jena, San Diego, Singapour et Buenos Aires. Pour plus d'informations, visitez www.eset.de ou suivez-nous sur LinkedIn, Facebook et Twitter.