TA542, un groupe cybercriminel qui distribue le malware Emotet, a terminé sa pause estivale et lance de plus en plus de nouvelles campagnes. Cependant, également avec des variantes Emotet modifiées.
Le groupe TA542 a été absent pendant près de quatre mois et a été vu pour la dernière fois en action à l'été du 13 juillet 2022. Depuis le 2 novembre, les spécialistes de la sécurité de Proofpoint surveillent les nouvelles activités de TA542, notamment en Allemagne.
Principaux plats à emporter sur les campagnes Emotet
- TA542 utilise des variantes Emotet personnalisées dans les nouvelles campagnes. Les modifications (voir ci-dessous) affectent les charges utiles et les appâts utilisés ainsi que les modifications apportées aux modules Emotet, au chargeur et au packer.
- Emotet propose désormais également le cheval de Troie bancaire IcedID.
- Les nouvelles activités indiquent qu'Emotet retrouve sa pleine fonctionnalité en tant que réseau de distribution pour différentes souches de logiciels malveillants.
- Le botnet présente quelques différences essentielles par rapport aux campagnes précédentes. Cela indique que de nouveaux opérateurs ou une nouvelle direction sont impliqués.
- Les campagnes par e-mail de TA542 figurent parmi les leaders de la cybercriminalité en termes de volume d'e-mails. Proofpoint a déjà bloqué des centaines de milliers de messages par jour.
- Le fichier Excel contenant le logiciel malveillant comprend des instructions permettant aux victimes potentielles de copier le fichier dans un emplacement de modèle Microsoft Office et de l'exécuter à partir de là. Les droits d'administrateur sont requis pour cela. Cela s'applique davantage aux ordinateurs privés qu'aux ordinateurs de l'entreprise.
Les principales innovations d'Emotet
- Nouveaux leurres visuels pour les pièces jointes Excel
- Modifications du binaire Emotet
- Emotet utilise une nouvelle version du chargeur IcedID
- En plus d'IcedID, le téléchargeur de logiciels malveillants Bumblebee est utilisé
Les experts en cybersécurité de Proofpoint prévoient que TA542 continuera d'adapter sa méthode, avec la possibilité d'augmenter les volumes d'e-mails, de cibler davantage de régions et de nouvelles variantes ou techniques de logiciels malveillants attachés ou liés. Les modifications déjà apportées au binaire Emotet suggèrent que les cybercriminels continueront également à le personnaliser.
Emotet : les experts s'attendent à une forte hausse
Tout indique qu'Emotet retrouvera sa pleine fonctionnalité en tant que réseau de distribution pour de nombreuses grandes familles de logiciels malveillants. Ce qui est particulièrement intéressant, c'est qu'Emotet évolue. Nous le surveillons depuis des années et il n'y a aucun signe qu'il cesse ses activités. Il continue de mourir et de revivre comme un chat avec plus de neuf vies.
Plus sur Proofpoint.com
À propos de Propoint Proofpoint, Inc. est une entreprise leader dans le domaine de la cybersécurité. Proofpoint se concentre sur la protection des employés. Parce que ceux-ci signifient le plus grand capital pour une entreprise, mais aussi le plus grand risque. Avec une suite intégrée de solutions de cybersécurité basées sur le cloud, Proofpoint aide les organisations du monde entier à stopper les menaces ciblées, à protéger leurs données et à informer les utilisateurs informatiques des entreprises sur les risques de cyberattaques.