Emotet : la mutation continue avec une accélération des versions-outils dont droppers ! (la vie, la vie, la vie…)

La nouvelle ère, c’est aussi pour les malwares : alors que le début du mois de Décembre 2021 confirmait une réminiscence dangereuse d’Emotet, celle-ci semble s’émanciper pour ne pas dire s’envoler insécuritairement, quitte à brûler quelques étapes !

Pour augmenter la diffusion et la viralité tout en réduisant la fenêtre de réaction, côté utilisateur ou victime, Emotet serait composé, en quelques sorte, de raccourcis par rapport aux schémas de conceptions traditionnels, pour permettre d’avoir des outils ou kits de plus en plus opérationnelles. L’observation des nouvelles versions (epoch 4 + 5) démontrent ce modus operandi ou cette mentalité des cyber-attaquants, notamment en injectant, sous epoch 5, des commandes liées à Cobalt Strike, l’une des charges virales ultime là où avant, Trickbot, entre-autres, constituait l’une des étapes.

Trois nouveaux chargeurs ou loaders ont été ajoutés (epoch5) tout en étant adapté, par rapport à l’epoch 4 qui réside, toutefois, dangereuse. Les exploits se font, notamment, au détour d’un document Word commun recelant un chargement AppX (TubeLoader) et un bouton macro-commandes pretextant, ici, un document en pré-visualisation… A suivre !

Sources :

• Cryptolaemus (Twitter) – 7 Décembre 2021 – Emotet : abandon des balises CS (epoch 5) pour accélérer la diffusion de CobaltStrike,
• Cryptolaemus (Twitter) – 9 Décembre 2021 – Emotet : trois nouveaux loaders pour droppers,
• Cryptolaemus (Twitter) – 9 Décembre 2021 – Emotet : document Word (macro-cmd AppX – TubeLoader).

Signaler une erreur

Raison: *
Erreur(s) dans l'informationFaute(s) d'orthographe(s)

Votre nom: *

Votre email: *

Détails: *

Envoyer votre message