Le célèbre malware Emotet s’est tourné vers le déploiement d’un nouveau module conçu pour siphonner les informations de carte de crédit stockées dans le navigateur Web Chrome. Le voleur de cartes de crédit, qui cible exclusivement Chrome, a la capacité d’exfiltrer les informations collectées vers différents serveurs de commande et de contrôle (C2) à distance, selon la société de sécurité d’entreprise Proofpoint, qui a observé le composant le 6 juin. Le développement intervient au milieu d’un pic d’activité Emotet depuis qu’il a été ressuscité à la fin de l’année dernière après une interruption de 10 mois à la suite d’une opération d’application de la loi qui a détruit son infrastructure d’attaque en janvier 2021. Emotet, attribué à un acteur malveillant connu sous le nom de TA542 (alias Mummy Spider ou Gold Crestwood), est un cheval de Troie avancé, auto-propagatif et modulaire qui est diffusé via des campagnes par e-mail et est utilisé comme distributeur pour d’autres charges utiles telles que les ransomwares. En avril 2022, Emotet est toujours le logiciel malveillant le plus populaire avec un impact global de 6 % des organisations dans le monde, suivi de Formbook et de l’agent Tesla, par point de contrôle, le logiciel malveillant testant de nouvelles méthodes de livraison à l’aide des URL OneDrive et de PowerShell dans .LNK. pièces jointes pour contourner les restrictions de macros de Microsoft.
La croissance constante des menaces liées à Emotet est encore étayée par le fait que le nombre d’e-mails de phishing, détournant souvent des correspondances déjà existantes, est passé de 3 000 en février 2022 à environ 30 000 en mars ciblant des organisations dans divers pays dans le cadre d’un programme à grande échelle. campagne de spam. Déclarant que l’activité d’Emotet est « passée à la vitesse supérieure » en mars et avril 2022, ESET a déclaré que les détections avaient été multipliées par 100, enregistrant une croissance de plus de 11 000 % au cours des quatre premiers mois de l’année par rapport aux trois précédents. période d’un mois de septembre à décembre 2021.
Certaines des cibles communes depuis la résurrection du botnet sont le Japon, l’Italie et le Mexique, a noté la société slovaque de cybersécurité, ajoutant que la plus grande vague a été enregistrée le 16 mars 2022. « La taille des dernières campagnes LNK et XLL d’Emotet était nettement inférieure à celles distribuées via des fichiers DOC compromis vus en mars », a déclaré Dušan Lacika, ingénieur principal en détection chez Dušan Lacika. « Cela suggère que les opérateurs n’utilisent qu’une fraction du potentiel du botnet tout en testant de nouveaux vecteurs de distribution qui pourraient remplacer les macros VBA désormais désactivées par défaut. » Les découvertes surviennent également lorsque des chercheurs de CyberArk ont démontré une nouvelle technique pour extraire les informations d’identification en clair directement de la mémoire dans les navigateurs Web basés sur Chromium.
« Les données d’identification sont stockées dans la mémoire de Chrome au format texte clair », a déclaré Zeev Ben Porat de CyberArk. « En plus des données saisies dynamiquement lors de la connexion à des applications Web spécifiques, un attaquant peut amener le navigateur à charger en mémoire tous les mots de passe stockés dans le gestionnaire de mots de passe. » Cela inclut également les informations relatives aux cookies telles que les cookies de session, permettant potentiellement à un attaquant d’extraire les informations et de les utiliser pour détourner les comptes des utilisateurs même lorsqu’ils sont protégés par une authentification multifacteur.