Emotet revient après 5 mois d’interruption (TA542)

0
119

Plus de 160 jours après la dernière livraison observée d’Emotet dans un email, les chercheurs de Proofpoint confirment le retour du malware à l’échelle mondiale.

Tribune Proofpoint – Emotet est connu pour être un malware particulièrement virulent et évolutif. Dans ses premières versions, il intégrait un module utilisé pour commettre des fraudes bancaires et a été, à ce titre, classé comme un cheval de Troie bancaire pendant des années. Dans ses versions ultérieures, Emotet ne chargeait plus son propre module bancaire, mais des logiciels bancaires malveillants tiers. Plus récemment, il a été observé qu’Emotet livrait d’autres charges utiles de tiers telles que Qbot, The Trick, IcedID et Gootkit.

Après 5 mois d’interruption, Emotet refait surface

Selon Proofpoint, près de 250 000 nouveaux messages Emotet ont été envoyés depuis le 17 juillet, et ce nombre continue d’augmenter.

TA542, l’acteur de la menace qui se cache derrière Emotet, semble actuellement cibler de nombreux secteurs d’activité à travers le monde, et pour le moment principalement aux États-Unis et au Royaume-Uni, avec des messages en anglais. Ces messages contiennent des pièces jointes Microsoft Word malveillantes ou des URL renvoyant à des documents Word. Les URL pointent souvent vers des hôtes WordPress compromis.

Comme les leurres observés précédemment, ces messages sont simples et peu personnalisés. Des lignes d’objet comme “RE :”, “Invoice #” suivies d’un faux numéro de facture sont couramment observées, et comprennent souvent le nom de l’organisation visée.

Sherrod DeGrippo, Directrice de la Détection des Menaces au sein de Proofpoint commente :

“Les chercheurs de Proofpoint ont confirmé le retour d’Emotet, une menace polyvalente et très virulente qui a été observée pour la dernière fois dans un mail le 7 février de cette année. La nouvelle campagne a jusqu’à présent visé des destinataires principalement aux États-Unis et au Royaume-Uni, le leurre étant envoyé en anglais. Les courriels contiennent soit une pièce jointe Word, soit des URL incitant à télécharger un document Word contenant des macros malveillantes qui, si elles sont activées par les utilisateurs, permettront de télécharger et d’installer Emotet. La campagne est toujours en cours et comptabilisait déjà près de 250 000 occurrences vendredi dernier. TA542, le groupe à l’origine d’Emotet, est historiquement connu pour ses campagnes à grande échelle, ayant principalement touché l’Amérique du Nord, l’Amérique centrale, l’Amérique du Sud, l’Europe, l’Asie et l’Australie. Ses campagnes sont largement centrées sur le vol d’identifiants et l’installation de logiciels malveillants bancaires ou d’autres charges utiles.

Emotet est un malware très efficace capable de télécharger et d’installer toute une série de logiciels malveillants supplémentaires qui volent souvent des informations, envoient des courriers électroniques frauduleux et se propagent sur les réseaux en utilisant des appareils infectés pour lancer de futures attaques. Son  retour doit être pris très au sérieux. TA542 s’appuie généralement sur son infrastructure basée sur l’analyse pour tester le succès et l’ampleur de ses campagnes et les ajuster en fonction de ce qui est le plus efficace. Cela dit, la campagne d’envergure observée en ce moment ne semble pas être un simple test, même si elle n’a rien d’inédit. Emotet a disparu pendant 161 jours et revient comme si de rien n’était. Les appâts ne sont pas nouveaux et ne s’appuient sur aucun événement d’actualité comme le COVID-19. Ils utilisent également le même botnet. Nous allons continuer à surveiller cet acteur et les dernières évolutions d’Emotet. Dans ce contexte, il est primordial que les équipes de sécurité continuent à sécuriser le canal mail et à sensibiliser les utilisateurs aux risques accrus associés aux pièces jointes potentiellement malveillantes afin de les protéger contre cette forme d’attaque. “