L’opération de malware Emotet spamme à nouveau des e-mails malveillants depuis mardi matin après une pause de trois mois, reconstruisant son réseau et infectant des appareils dans le monde entier.
Emotet est un malware notoire distribué par e-mail contenant des pièces jointes malveillantes de documents Microsoft Word et Excel. Lorsque les utilisateurs ouvrent ces documents et que les macros sont activées, la DLL Emotet sera téléchargée et chargée en mémoire.
Une fois Emotet chargé, le logiciel malveillant restera silencieux, attendant les instructions d’un serveur de commande et de contrôle à distance.
Finalement, le logiciel malveillant volera les e-mails et les contacts des victimes pour les utiliser dans les futures campagnes Emotet ou téléchargera des charges utiles supplémentaires telles que Cobalt Strike ou d’autres logiciels malveillants qui conduisent généralement à des attaques de rançongiciels.
Alors qu’Emotet a été considéré comme le malware le plus distribué dans le passé, il a progressivement ralenti, avec sa dernière opération de spam vue en novembre 2022. Cependant, même alors, le spam n’a duré que deux semaines.
Emotet revient en 2023
Aujourd’hui, la société de cybersécurité Cofense et le groupe de suivi Emotet Cryptolaemus ont averti que le botnet Emotet avait de nouveau repris l’envoi d’e-mails.
« A partir de 1200UTC, Ivan a finalement obtenu E4 pour envoyer du spam. Nous voyons des modèles Red Dawn qui sont très volumineux arriver à plus de 500 Mo. Nous voyons actuellement un flux décent de spam. Septuor d’URL de charge utile et de macros laides », a tweeté Cryptolaemus.
Cofense a également confirmé à Breachtrace que la campagne de spam a commencé à 7h00 HE, les volumes actuels restant faibles.
« Le premier e-mail que nous avons vu était vers 7h00 HNE. Le volume reste faible pour le moment car ils continuent de reconstruire et de rassembler de nouvelles informations d’identification à exploiter et des carnets d’adresses à cibler », a déclaré Cofense à Breachtrace .
Au lieu d’utiliser des e-mails de chaîne de réponse comme dans la campagne précédente, les acteurs de la menace utilisent des e-mails qui prétendent être des factures, comme indiqué ci-dessous.
Attachés à ces e-mails se trouvent des archives ZIP contenant des documents Word gonflés d’une taille supérieure à 500 Mo. Ils sont remplis de données inutilisées pour rendre les fichiers plus volumineux et plus difficiles à analyser par les solutions antivirus et à les détecter comme malveillants.
Ces documents Microsoft Word utilisent le modèle de document « Red Dawn » d’Emotet, invitant les utilisateurs à activer le contenu du document pour le voir correctement.
Ces documents contiennent un tas de macros qui téléchargeront le chargeur Emotet en tant que DLL à partir de sites compromis, dont beaucoup sont des blogs WordPress piratés.
Une fois téléchargé, Emotet sera enregistré dans un dossier nommé de manière aléatoire sous %LocalAppData% et lancé à l’aide de regsvr32.exe.
Comme le document Word, la DLL Emotet a également été rembourrée pour être de 526 Mo afin d’entraver la capacité de la détecter comme malveillante par un logiciel antivirus.
Cette technique d’évasion est couronnée de succès, comme l’illustre une analyse VirusTotal où le logiciel malveillant n’est détecté que par un fournisseur de sécurité sur 64 moteurs, ce fournisseur ne le détectant qu’en tant que « Malware.SwollenFile ».
Une fois exécuté, le logiciel malveillant s’exécutera en arrière-plan, en attendant des commandes, qui installeront probablement d’autres charges utiles sur l’appareil.
Les charges utiles permettent à d’autres acteurs de la menace d’accéder à distance à l’appareil, qui est ensuite utilisé pour se propager davantage dans le réseau compromis.
Ces attaques conduisent généralement au vol de données et à des attaques de ransomwares à grande échelle sur les réseaux piratés.
Cofense dit qu’ils n’ont vu aucune charge utile supplémentaire abandonnée maintenant, et le logiciel malveillant ne fait que collecter des données pour les futures campagnes de spam.
Les modifications récentes de Microsoft sauvent la journée
Alors qu’Emotet reconstruit son réseau, la méthode actuelle risque de ne pas avoir beaucoup de succès après les récents changements de Microsoft.
En juillet 2022, Microsoft a finalement désactivé les macros par défaut dans les documents Microsoft Office téléchargés sur Internet.
En raison de ce changement, les utilisateurs qui ouvrent un document Emotet seront accueillis par un message indiquant que les macros sont désactivées car la source du fichier n’est pas fiable.
L’analyste principal des vulnérabilités d’ANALYGENCE, Will Dormann, a déclaré à Breachtrace que ce changement affecte également les pièces jointes enregistrées à partir des e-mails.
Pour la plupart des utilisateurs recevant des e-mails Emotet, cette fonctionnalité les protégera probablement de l’activation par erreur des macros, à moins qu’ils ne fassent un effort concerté pour les activer.
Ce changement a conduit d’autres acteurs de la menace à s’éloigner des documents Word et Excel et à abuser d’autres formats de fichiers, tels que Microsoft OneNote, les images ISO et les fichiers JS.
Il ne serait pas surprenant de voir Emotet passer également à différents types de pièces jointes après que cette campagne initiale ne se soit pas déroulée comme prévu.