Emotet a-t-il été ressuscité? Il semble que le malware notoire soit de retour pour Noël.
Des mois après le démantèlement du malware par les forces de l'ordre, Le chercheur en sécurité Luca Ebach voit des signes d'utilisation d'Emotet dans la nature. Son rapport indique que TrickBot est actuellement utilisé pour déployer une nouvelle variante d'Emotet sur des systèmes TrickBot précédemment compromis.
Emotet réincarné?
"Le dimanche, Novembre 14, vers 9:26pm UTC nous avons observé sur plusieurs de nos trackers Trickbot que le bot a essayé de télécharger une DLL sur le système. Selon le traitement interne, ces DLL ont été identifiées comme Emotet," a déclaré Ebach.
Une analyse plus poussée a permis de confirmer avec une « confiance élevée » que les échantillons détectés sont bien « une réincarnation de l'infâme Emotet ».
Quelles similitudes y a-t-il avec les échantillons Emotet précédents? L'utilisation intensive de l'aplatissement du flux de contrôle pour l'obscurcissement du code était typique des anciennes variantes d'Emotet, et il est présent dans celui-ci aussi. Le chercheur a fourni deux extraits de code arbitraires pour illustrer la similitude du style d'obscurcissement.
« Selon le célèbre canard-typage, nous concluons pour l'instant: ça sent l'Emotet, ressemble à Emotet, se comporte comme Emotet - semble être Emotet,» Le chercheur conclu.
EmoCrash: l'Emotet Killswitch
En août 2020, les chercheurs en sécurité ont créé un exploit puis un killswitch (surnommé EmoCrash) pour empêcher la propagation du malware Emotet. Emotet a été décrit comme un logiciel malveillant tout-en-un qui pourrait être programmé par des acteurs malveillants pour télécharger d'autres logiciels malveillants et voler des fichiers., ou recruter les systèmes compromis dans le réseau de botnet. Connu depuis au moins 2014, le malware a été utilisé dans diverses attaques contre des cibles privées et des réseaux d'entreprises et de gouvernements.
De nouveaux chargeurs de logiciels malveillants font également leur apparition
En Octobre 2021, des chercheurs en sécurité de Cisco Talos ont découvert un nouveau chargeur de logiciels malveillants, ÉcureuilGaufre, avec la probabilité de remplacer Emotet. « Les organisations doivent être conscientes de cette menace, car il persistera probablement dans le paysage des menaces dans un avenir prévisible,» Les chercheurs. Depuis que les opérations d'Emotet ont été perturbées par les forces de l'ordre, les chercheurs en sécurité attendaient l'arrivée d'un nouveau joueur.
Mais maintenant, il y a une preuve presque solide qu'Emotet fait son retour juste à temps pour Noël. Will SquirrelWaffle et autres nouveaux chargeurs rivaliser avec un Emotet amélioré dans les prochaines campagnes de phishing? Pour rappel, à 2019, une campagne de phishing a été détectée dans la nature, cibler les utilisateurs à domicile avec Emotet-laced “Fête de Noël” menus.
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: