EMOTET est rentré de vacances, et avec plus d’un tour dans son sac

0

Vous vous souvenez sûrement de ce phénix du cybercrime, démantelé par la police internationale en janvier 2021 et qui avait fait une réapparition en novembre dernier.

Les chercheurs en cybersécurité de Proofpoint ont publié aujourd’hui de nouvelles conclusions révélant la résurgence et l’évolution des tactiques utilisées pour distribuer le célèbre botnet EMOTET. Ces recherches indiquent que le groupe de cybercriminels (TA542) semble tester une nouvelle stratégie, d’abord à petite échelle, avant de déployer des campagnes de plus grande envergure.

Dans son activité récente (avril 2022), le groupe TA542 a utilisé un certain nombre de tactiques inhabituelles, du fait de :

  • La nature peu volumineuse de l’activité alors que typiquement, Emotet distribue des campagnes de courriels de grand volume, à de nombreuses cibles, dans le monde entier.
  • L’utilisation d’URL OneDrive alors qu’en général, Emotet envoie des pièces jointes Microsoft Office ou des URL (hébergées sur des sites compromis) qui renvoient à des fichiers Office.
  • L’utilisation de fichiers XLL – habituellement, Emotet utilise des documents Microsoft Excel ou Word contenant des macros VBA ou XL4.

Il est intéressant de noter que TA542 s’intéresse aux nouvelles techniques qui ne reposent pas sur des documents contenant des macros, car Microsoft rend l’utilisation des macros comme vecteur d’infection de plus en plus difficile pour les acteurs de la menace.

Sherrod DeGrippo, vice-président du département Threat Research and Detection de chez Proofpoint déclare :

« Après des mois d’activité régulière, Emotet change de cap. Il est probable que l’acteur de la menace teste de nouveaux comportements à petite échelle avant de les transmettre aux victimes à plus grande échelle, ou de les distribuer via de nouveaux TTP parallèlement à ses campagnes existantes à fort volume. Les organisations doivent être conscientes de ces nouvelles techniques et s’assurer qu’elles mettent en œuvre des défenses en conséquence. »

L’ensemble de ces conclusions peuvent être consulté en ligne ici : https://www.proofpoint.com/us/blog/threat-insight/emotet-tests-new-delivery-techniques

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici

Notifiez-moi des commentaires à venir via e-mail. Vous pouvez aussi vous abonner sans commenter.

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.