En toute insécurité, Emotet continue son chemin : selon les confidences de Bleeping Computer au 18 Octobre dernier, le malware a trouvé une nouvelle parade pour s’infiltrer en douceur dans les systèmes informatiques…
Toujours basé sur une attaque par mail qui, en finalité, peut aller jusqu’au déploiement du ransomware Ryuk, l’ensemble prend la forme d’un mail avec une pièce jointe attachée informant d’une pseudo-mise à jour logicielle Word. Pour appâter ou ensommeiller la victime, les sujets contemporains du moment sont exploités comme le COVID-19 ou encore la campagne présidentielle américaine, par exemple.
Une fois le lien cliqué, une macro-commande malicieuse s’active pour installer, en réalité donc, Emotet : là encore des ressources ont été créées pour parachever l’illusion d’un vrai téléchargement via des gabarits de page (templates) suivant l’environnement-système ciblé. Ici, un nouveau gabarit est apparu via l’affichage d’une fenêtre de mise à jour Windows Update (lors de la réinitialisation-système, reboot) calée sur le modèle légitime. L’écran s’affiche avant de pouvoir visualiser le document tronqué.
Comme toujours et spécialement pour ce type de malware ou trojan bancaire (Qbot, TrickBot alias Conti), reconnaître les marqueurs sécuritaires (mise en forme, modus operandi) peut être un atout pour éventuellement éviter ce type d’attaque qui reste, malgré tout, aussi sournoise qu’efficace… A veiller !
Source : Bleeping Computer – 18 Octobre 2020 – Emotet : nouvelle variante en exploitant un template de mise à jour Windows Update (correctif factice Microsoft Word).