• Buzz chaud du moment
  • Buzz chaud du moment
Actualités

Emotet : vers une diversification des activités ou outils avec BlackCat (AlphV) et Quantum !

(Source : ADVIntel)

 

L’équipe AdvIntel fait un micro-point sur l’évolution d’Emotet (SpmTools), le botnet qui permet qui permet, pour rappel et depuis 2014, de déployer des portes dérobées, chevaux de Troie voire des ransomwares, en touche finale. L’une des finalités les plus connues officiellement est Conti mais il semble que d’autres outils ou variations dans le modus operandi (jusqu’à la finalité ultime : dans le choix du ransomware) ont été observées ; Emotet priorisant, en bout de chaîne, d’autres ransomwares, tels que BlackCat (AlphV) et Quantum.

 

 

De Novembre 2021 à la dissolution de Conti en Juin 2022, Emotet était un outil exclusif de rançongiciel Conti, cependant, la chaîne d’infection Emotet est actuellement attribuée à Quantum et BlackCat“, indique le bref communiqué des chercheurs. Autre changement notable, il serait question d’utiliser non-plus une PJ (type document ou boutons macro-commandes dans un document bureautique) dans la charge virale originelle (toujours par mailing) mais un fichier .LNK.

 

Une similitude (et tendance croissante ?), par exemple, que l’on retrouve dans la chaîne d’infection ciblant l’Agent Tesla, par l’entremise du Quantum Builder (ou Quantum LNK Builder, qui peut, également, générer d’autres formats dont HTA ou ISO) : selon les investigations de l’équpe ZSCaler et depuis au moins 2014, un “enregistreur de frappe basé sur .NET et un Remote Access Trojan (RAT)” est exécuté pour faire une élévation de privilèges et un contrôle distant de cette agent. L’ensemble est amorcé par une campagne de spear-phishing (phishing ciblé prétextant, par exemple, une nouvelle commande) qui enverra, sous archive GZIP (chiffrement AES), un fichier LNK : lorsque celui-ci est ouvert, cela libère un code en PowerShell.

 

Après quelques imbrications (d’ouverture de fichiers et de loaders, pour dissimuler la charge finale : malware multi-niveau) et un contournement de l’UAC (User Account Control), l’élévation de privilèges (finalité, donc) permet d’ex-filtrer des données sensibles issues du navigateur Web, des messageries voire des gestionnaires ou système de mots de passe (en plus du presse-papier ou de l’aspiration des données dupliquées ou en sauvegarde, de cet acabit…). Ces données sont envoyées, alors, vers un serveur command-and-control en communication FTP (Port 21, dans le PoC des chercheurs). Selon les analyses de ZSCaler, le taux de menace ou de criticité sera estimé, en scoring, à 88 / 100… A veiller !

 

 

 

Sources :

50% J'apprécieVS
50% Je n'apprécie pas



  • Pas de commentaire

    Laisser un commentaire

    ;) :zzz: :youpi: :yes: :xmas: :wink: :whistle: :warning: :twisted: :sw: :sleep: :sg1: :schwarzy: :sarko: :sante: :rollol: :roll: :rip: :pt1cable: :popcorn: :pff: :patapai: :paf: :p :ouch: :oops: :o :non: :na: :mrgreen: :mdr: :macron: :love: :lol: :kissou: :kaola: :jesuisdehors: :jap: :ilovesos: :idea: :houra: :hello: :heink: :grumpy: :fume: :frenchy: :fouet: :fouet2: :first: :fessee: :evil: :dispute: :demon: :cryy: :cry: :cpignon: :cool: :cassepc: :capello: :calin: :bug: :boxe: :bounce: :bluesbro: :bisou: :babyyoda: :assassin: :arrow: :annif: :ange: :amen: :D :??: :?: :/ :-| :-x :-o :-P :-D :-? :-8 :-1: :+1: :) :( 8-O

    Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

    Copyright © Association SOSOrdi.net 1998-2022 - v1.14.0