Les personnes déclarées mortes vivent plus longtemps : cela s'applique également à Emotet. Selon les chercheurs d'ESET, le malware est de retour en force, comme le montrent les quatre premiers mois de cette année. Mais même les gentils se défendent : Microsoft renforce la sécurité des macros. Emotet survivra-t-il aussi à cela ?
L'une des découvertes les plus importantes de la Rapport sur les menaces ESET T1 2022 est que le botnet Emotet a renaît comme un phénix de ses cendres. D'énormes quantités de spam sont apparues en mars et avril 2022, des centaines de fois plus au cours des quatre premiers mois de 2022 par rapport aux quatre derniers mois de 2021. Les plus touchés étaient les documents Word pollués par des macros infectées.
Étant donné que Microsoft a resserré la gestion par défaut des fichiers avec des macros, il ne sera pas possible d'amener les destinataires à cliquer sur "activer le contenu" plus longtemps. Qu'est-ce que cela signifie pour Emotet ? Cette menace, considérée comme l'une des plus répandues et des plus vivaces, pourrait-elle désormais être oubliée ? Quelques mois seulement après que le botnet a été démantelé par les forces de l'ordre et salué comme une étape importante contre la cybercriminalité organisée ? Cela pourrait s'avérer être une erreur, car les opérateurs Emotet ne sont pas connus pour se reposer sur leurs lauriers.
Emotet modifie les techniques
Détections Emotet dans la télémétrie ESET (Image : ESET).
Entre le 26 avril et le 2 mai 2022, les chercheurs d'ESET ont découvert un campagne de test l'opérateur Emotet, où ils ont remplacé le document Microsoft Word typique par un fichier de lien (LNK) en tant que pièce jointe malveillante. Double-cliquer sur un fichier de raccourci peut lancer une ressource cible, dans ce cas un script PowerShell qui télécharge et exécute Emotet : La plupart découvertes étaient au Japon (28%), en Italie (16%) et au Mexique (11%).
Lors d'une précédente campagne de test entre le 4 et le 19 avril, les opérateurs d'Emotet ont attiré leurs victimes avec une archive ZIP stockée sur OneDrive. Celui-ci contenait des fichiers de complément Microsoft Excel (XLL) pouvant être utilisés pour ajouter des fonctions personnalisées à Excel. Lorsque ces fichiers ont été extraits et téléchargés, ils ont exécuté Emotet.
ESET propose une analyse approfondie des techniques Emotet actuelles dans un article de blog.
Plus sur ESET.com
À propos d'ESET ESET est une société européenne dont le siège est à Bratislava (Slovaquie). Depuis 1987, ESET développe des logiciels de sécurité primés qui ont déjà aidé plus de 100 millions d'utilisateurs à profiter de technologies sécurisées. Le large portefeuille de produits de sécurité couvre toutes les principales plates-formes et offre aux entreprises et aux consommateurs du monde entier l'équilibre parfait entre performance et protection proactive. La société dispose d'un réseau de vente mondial dans plus de 180 pays et de bureaux à Jena, San Diego, Singapour et Buenos Aires. Pour plus d'informations, visitez www.eset.de ou suivez-nous sur LinkedIn, Facebook et Twitter.