Actualités

Emotet : la réminiscence se confirme… experts et chercheurs sonnent l’alarme ! (les couloirs des “epoch”…)

(Source : Cryptolaemus)

 

Expert et chercheurs sécuritaires, en effet, sont aux aguets : alors que début 2021, les autorités européennes et américaines annonçaient avoir jugulé Emotet via un démantèlement massif des services et infrastructures du botnet, depuis le 15 Novembre 2021, de nombreux spécialistes dont Vitali Kremez (Intel Advanced) mettaient en garde une réminiscence possible d’Emotet via certains indicateurs – tracker FEODO, entre-autres – qui pouvaient confirmer un retour possible ; le doute n’est désormais plus de mise : Emotet est revenu…

 

 

Récemment, une détection de campagne frauduleuse de lien, sous l’installateur Windows App (Microsoft Azure, via un document PDF vérolé, donc) a été détecté : il semble que ce package ait été fait à la va-vite puisqu’un certificat serait manquant ce qui rendrait l’exploit malveillant inopérant, pour l’heure, selon les faits relatés par Cryptolaemus, le 30 Novembre 2021. Du côté des analystes suisses Abuse, le site de veille confirme la menace potentielle avec graphique d’analyse en temps réel qui montre des signes d’activités entre le 16 et 19 Novembre dernier (faibles), du 25 au 27 Novembre 2021 (légèrement plus élevés) et un pic flagrant entre le 30 Novembre et 2 Décembre 2021 pour un pic, à nouveau qui se profile(rait), depuis le 3 Décembre 2021, en terme de distribution (URLs).

 

Du côté de l’équipe Malwarebytes Threat Intelligence, l’activité command-and-control relative au botnet est observée entre le 26 Novembre et le 1er Décembre 2021 avec, majoritairement, les Etats-Unis en première ligne de mire (46 %) suivies du Brésil (12 %), de l’Afrique du Sud (10 %), du Mexique (10 %) et de pays de l’Asie (Indonésie, Philippines, Thaïlande) ou encore d’autres pays tels que le Canada, l’Italie et la Pologne. Dans un billet du 16 Novembre 2021, Malwarebytes alertait sur un regain ou une réminiscence assistée par TrickBot : du fait du lien existant (finalités de la chaîne malveillante) avec Emotet, les terminaux déjà infectés – ou encore ! – par TrickBot ont permis de re-instaurer ou re-installer Emotet, au détour de documents Office ou tableur (Excel) compromis pour aller rétablir, au final, un lien distant via le fameux command-and-control, entre-autres.

 

 

Une vaste campagne de mails et / ou pièces jointes frauduleuses semblent donc se dessiner : selon les propos du chercheur ExecuteMalware (sur la base des IOCs, les indicateurs de compromis – Github), depuis le 3 Décembre 2021, Qbot (Qakbot) – un cheval de Troie bancaire avec des fonctionnalités allant au-delà du fil du temps de son activité-viralité – que l’on présente parfois comme le successeur d’Emotet, diffuse de manière récurrente des liens (avec majuscules : pour rappel, ne surtout PAS cliquer sur ces liens, surtout s’ils proviennent de destinataire inconnus, douteux ou empruntant un nom ou contact familiers mais d’une façon non-habituelle ou non-usuelle par rapport à d’habitude) en PJ. Une fois le lien cliqué, la viralité peut déjà s’amorcer. Toujours en parallèle ou en mode sentinelle, épaulant Emotet, la porte dérobée BazarLoader (BazaLoader), qui sert d’intermédiaire dans des chaînes malveillantes pouvant intégrer Ryuk et Emotet, a été, par ailleurs, observée par ExecuteMalware, également depuis le 3 Décembre 2021 : via des formulaires de contact (en guise d’appât), le malware, fait surprenant, instillait un fichier ISO. Ce dernier se composait de deux fichiers (INK + JS), en plus d’un DLL nommé BazarLoader. Un script sous PHP est alors généré (depuis le fichier JS) et renvoie vers un domaine se terminant par .top.

 

La version 4 d’Emotet (epoch4) permet, depuis un document dédié, d’initialiser des macros-commandes “cachées” lors de la fermeture-document (!…) avec un chargement-URL plus intensif que dans la version originelle, selon ReecDeep, dans un tweet du 2 Décembre 2021. Selon papa_anniekey, la transition vers cette version actualisée du botnet serait de plus en plus simplifiée, en terme de diffusion.

 

Des chaînes, dans le cadre de mails, ont été repérées, également, avec des liens vérolés, selon le chercheur Sugimu_sec : une fois le lien cliqué, une version d’Excel (v4.0) – epoch4 – s’installe sur le système pour exécuter rundll32 ; ou en d’autres termes et finalités : Emotet… A veiller !

 

 

Sources :

 

 

 




  • 50% J'apprécieVS
    50% Je n'apprécie pas
    Pas de commentaire

    Laisser un commentaire

    ;) :zzz: :youpi: :yes: :xmas: :wink: :whistle: :warning: :twisted: :sw: :sleep: :sg1: :schwarzy: :sarko: :sante: :rollol: :roll: :rip: :pt1cable: :popcorn: :pff: :patapai: :paf: :p :ouch: :oops: :o :non: :na: :mrgreen: :mdr: :macron: :love: :lol: :kissou: :kaola: :jesuisdehors: :jap: :ilovesos: :idea: :houra: :hello: :heink: :grumpy: :fume: :frenchy: :fouet: :fouet2: :first: :fessee: :evil: :dispute: :demon: :cryy: :cry: :cpignon: :cool: :cassepc: :capello: :calin: :bug: :boxe: :bounce: :bluesbro: :bisou: :babyyoda: :assassin: :arrow: :annif: :ange: :amen: :D :??: :?: :/ :-| :-x :-o :-P :-D :-? :-8 :-1: :+1: :) :( 8-O

    Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

    Copyright © Association SOSOrdi.net 1998-2022 - v1.12.0