Des chercheurs en sécurité informatique ont créé un exploit puis un killwitch (surnommé EmoCrash) pour empêcher la propagation du malware Emotet. C'est l'une des infections virales les plus courantes et les plus dangereuses, car elles se propagent via des réseaux de botnet d'hôtes infectés. Les experts ont découvert un problème de sécurité qui a permis que cela se produise.
EmoCrash: Des experts ont trouvé un exploit et ont arrêté Emotet d'infecter des PC
Le malware Emotet est l'un des virus les plus connus et les plus dangereux, principalement distribués à l'aide de réseaux de botnet d'hôtes infectés.. Les réseaux de botnet se configurent pour propager automatiquement le virus en utilisant le contenu SPAM dans les messages électroniques ou des attaques directes en utilisant des vulnérabilités de sécurité courantes. Le malware Emotet est souvent décrit comme un virus tout-en-un qui peuvent être programmés par les pirates pour télécharger d'autres logiciels malveillants, voler des fichiers ou recruter les hôtes contaminés dans le réseau botnet. Il est connu depuis 2014 et depuis lors, il a été utilisé dans d'innombrables attaques contre des cibles privées et des réseaux d'entreprises et gouvernementaux.
Il y a quelques mois, une nouvelle mise à jour a ajouté une nouvelle fonctionnalité qui permettait au moteur malveillant d'infecter les réseaux Wi-Fi à portée d'hôtes déjà piratés. Une nouvelle installation de persistance a également été mise en œuvre, ce qui rend plus difficile la suppression des infections actives.
Cependant, avec cette mise à jour, les ingénieurs de sécurité qui suivent les changements dans le code Emotet ont signalé qu'un killswitch a été conçu pour cela. Il utilise un Script PowerShell qui a manipulé les contrôles de logiciels malveillants sur le système local et l'a fait charger un fichier exécutable vide. En conséquence, le malware a été arrêté de s'exécuter sur le système cible.
Une deuxième faille de sécurité a permis aux hackers d'en construire une autre, type plus complexe de manipulation de virus, connu sous le nom de EmoCrash. Il est classé comme un exploit de débordement de tampon qui plante le moteur Emotet lors de son installation. Ceci est fait afin d'éviter que les utilisateurs ne soient complètement infectés.
Les experts en sécurité ont coordonné le code d'exploitation afin de ne pas divulguer publiquement cette technique afin de cacher cette technique aux pirates.. Ceci est fait afin de protéger le code du malware contre le patch. Cependant en avril 2020 les pirates ont mis à jour le code du virus et supprimé les codes de valeur de registre qui ont été abusés par EmoCrash.
Étant donné que les experts en sécurité informatique prennent des mesures afin de concevoir des méthodes de protection contre les logiciels malveillants en abusant des défauts du code, une autre technique pourrait être conçue à nouveau prochainement.. Nous conseillons à tous les utilisateurs d'ordinateurs d'être vigilants et de toujours prendre des précautions de sécurité pour protéger leurs systèmes contre les infections de logiciels malveillants.
Martin Beltov
Martin a obtenu un diplôme en édition de l'Université de Sofia. En tant que passionné de cyber-sécurité, il aime écrire sur les menaces les plus récentes et les mécanismes d'intrusion.
Suivez-moi: