Le malware Emotet est désormais distribué à l’aide de pièces jointes aux e-mails Microsoft OneNote, dans le but de contourner les restrictions de sécurité de Microsoft et d’infecter davantage de cibles.

Emotet est un botnet malveillant notoire distribué historiquement via des pièces jointes Microsoft Word et Excel contenant des macros malveillantes. Si un utilisateur ouvre la pièce jointe et active les macros, une DLL sera téléchargée et exécutée qui installe le logiciel malveillant Emotet sur l’appareil.

Une fois chargé, le logiciel malveillant volera les contacts et le contenu des e-mails pour les utiliser dans de futures campagnes de spam. Il téléchargera également d’autres charges utiles qui fournissent un accès initial au réseau d’entreprise.

Cet accès est utilisé pour mener des cyberattaques contre l’entreprise, qui pourraient inclure des attaques de ransomware, le vol de données, le cyberespionnage et l’extorsion.

Alors qu’Emotet était l’un des logiciels malveillants les plus distribués dans le passé, au cours de l’année écoulée, il s’est arrêté et a commencé par à-coups, prenant finalement une pause vers la fin de 2022.

Après trois mois d’inactivité, le botnet Emotet s’est soudainement rallumé, crachant des e-mails malveillants dans le monde entier au début du mois.

Cependant, cette campagne initiale était défectueuse car elle continuait à utiliser des documents Word et Excel avec des macros. Comme Microsoft bloque désormais automatiquement les macros dans les documents Word et Excel téléchargés, y compris ceux joints aux e-mails, cette campagne n’infecterait que quelques personnes.

Document Word Emotet malveillant utilisé plus tôt ce mois-ci

Pour cette raison, Breachtrace a prédit qu’Emotet passerait aux fichiers Microsoft OneNote, qui sont devenus une méthode populaire de distribution de logiciels malveillants après que Microsoft a commencé à bloquer les macros.

Emotet passe à Microsoft OneNote
Comme prévu, dans une campagne de spam Emotet repérée pour la première fois par le chercheur en sécurité Abel, les acteurs de la menace ont maintenant commencé à distribuer le logiciel malveillant Emotet à l’aide de pièces jointes Microsoft OneNote malveillantes.

Ces pièces jointes sont distribuées dans des e-mails de chaîne de réponse qui se font passer pour des guides, des procédures, des factures, des références d’emploi, etc.

Emotet spam

Attachés à l’e-mail sont des documents Microsoft OneNote qui affichent un message indiquant que le document est protégé. Il vous invite ensuite à double-cliquer sur le bouton « Afficher » pour afficher correctement le document.

Pièce jointe Microsoft OneNote malveillante

Microsoft OneNote vous permet de créer des documents contenant des éléments de conception qui se superposent à un document incorporé. Cependant, lorsque vous double-cliquez sur l’emplacement où se trouve le fichier intégré, même s’il y a un élément de conception dessus, le fichier sera lancé.

Dans cette campagne de logiciels malveillants Emotet, les acteurs de la menace ont caché un fichier VBScript malveillant appelé « click.wsf » sous le bouton « Afficher », comme indiqué ci-dessous.

Fichier click.wsf masqué dans le document Microsoft OneNote

Ce VBScript contient un script fortement obscurci qui télécharge une DLL à partir d’un site Web distant, probablement compromis, puis l’exécute.

Fichier VBScript click.wsf malveillant

Bien que Microsoft OneNote affiche un avertissement lorsqu’un utilisateur tente de lancer un fichier intégré dans OneNote, l’histoire nous a montré que de nombreux utilisateurs cliquent généralement sur les boutons « OK » pour se débarrasser de l’alerte.

Avertissement lors de l’ouverture d’un fichier intégré

Si l’utilisateur clique sur le bouton OK, le fichier VBScript click.wsf intégré sera exécuté à l’aide de WScript.exe à partir du dossier Temp de OneNote, qui sera probablement différent pour chaque utilisateur :

Le script téléchargera ensuite le malware Emotet en tant que DLL [VirusTotal] et le stockera dans le même dossier Temp. Il lancera ensuite la DLL nommée au hasard à l’aide de regsvr32.exe.

Emotet fonctionnera désormais silencieusement sur l’appareil, volant des e-mails, des contacts et attendant d’autres commandes du serveur de commande et de contrôle.

Bien que l’on ne sache pas quelles charges utiles cette campagne supprime finalement, cela conduit généralement à l’installation de Cobalt Strike ou d’autres logiciels malveillants.

Ces charges utiles permettent aux pirates travaillant avec Emotet d’accéder à l’appareil et de l’utiliser comme tremplin pour se propager plus loin dans le réseau.

Blocage des documents Microsoft OneNote malveillants
Microsoft OneNote est devenu un énorme problème de distribution de logiciels malveillants, avec plusieurs campagnes de logiciels malveillants utilisant ces pièces jointes.

Pour cette raison, Microsoft ajoutera des protections améliorées dans OneNote contre les documents de phishing, mais il n’y a pas de calendrier précis pour quand cela sera disponible pour tout le monde.

Cependant, les administrateurs Windows peuvent configurer des stratégies de groupe pour se protéger contre les fichiers Microsoft OneNote malveillants.

Les administrateurs peuvent utiliser ces stratégies de groupe pour bloquer complètement les fichiers intégrés dans Microsoft OneNote ou vous permettre de spécifier des extensions de fichiers spécifiques dont l’exécution doit être bloquée.

Toutes les pièces jointes sont bloquées dans Microsoft OneNote

Vous pouvez en savoir plus sur les stratégies de groupe disponibles dans un article dédié que Breachtrace a écrit plus tôt ce mois-ci.

Il est fortement suggéré aux administrateurs Windows d’utiliser l’une de ces options jusqu’à ce que Microsoft ajoute des protections supplémentaires à OneNote.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *