Après des Mois de Silence, Emotet est de Retour avec une Nouvelle Campagne de Spam

Une campagne d'E-mails Malveillants Ciblant les États-Unis, l'Allemagne, la Pologne, l'Italie et le Royaume-Uni Propageant le Lance-Malware Emotet

Les chercheurs ont dévoilé les campagnes malveillantes d'Emotet ciblant les entreprises, les institutions gouvernementales et les utilisateurs individuels partout dans le monde Après être resté inactif au début de l'été, le malware bancaire a rompu son silence le 22 août lorsque les serveurs C2 ont répondu aux demandes. Un tel comportement a attiré l'attention des chercheurs, et c'est ainsi qu'ils ont découvert une nouvelle campagne.

L'attaque de spam utilise principalement « Avis de Versement de Paiement » et des lignes d'objet similaires. Il vise à tromper les gens en leur demandant d'ouvrir des pièces jointes pour activer des macros malveillantes. Cela déclenche certaines commandes et Emotet est téléchargé à partir de sites compromis. Dans la plupart des cas, ces pages sont basées sur WordPress.

La liste des sites Web compromis dans cette récente campagne de malware d'Emotet :

  • customernoble.com
  • taxolabs.com
  • www.mutlukadinlarakademisi.com
  • www.holyurbanhotel.com
  • www.biyunhui.com
  • nautcoins.com
  • keikomimura.com
  • charosjewellery.co.uk
  • think1.com
  • broadpeakdefense.com
  • lecairtravels.com.

Le Malware Emotet se Renforce : Ciblant des Dizaines de Milliers d'E-mails

Selon plusieurs rapports, le malware cible près de 66 000 E-mails et utilise 30 000 noms de domaine. Visant principalement à infecter les utilisateurs en Allemagne et en Pologne, la campagne du Cheval de Troie Emotet a été repérée pour la première fois lundi. Après avoir obtenu des E-mails dérobés, les créateurs de virus envoient des messages contenant des fichiers exécutables, des liens de téléchargement et autres composants malveillants utilisés pour propager Emotet.

Ensuite, les malware agissent en tant qu'utilitaires de téléchargement pour d'autres menaces comme les ransomware Ryuk.

De l'utilisateur privé jusqu'au domaine public. La liste des émetteurs comprend la même dispersion que les cibles. Nous avons souvent vu un ciblage précis à l'aide d'un expéditeur dont la liste de contacts semble avoir subi un scraping et utilisée comme liste cible pour cet expéditeur. Cela inclurait b2b ainsi que gov to gov.

Emotet était un cheval de Troie bancaire au début, et plus tard, il a été réorienté pour fonctionner comme un chargeur de logiciels malveillants. Trojan est l'un des plus grands botnets, et ce retour était attendu. Cependant, l'activité sur les serveurs, qui a été signalée en août dernier, a entraîné un rétablissement total des communications avec les robots infectés et a maximisé la taille du botnet.

Différentes Commandes pour les Victimes de partout dans le Monde

La notification par E-mail elle-même, comme d'habitude pour les spams, contient une ligne d'objet à caractère financier et semble être un E-mail de suivi de la conversation précédente. Comme on peut le constater clairement des échantillons de spam polonais et allemand, l'expéditeur utilise l'un des scénarios suivants :

  • avertissement concernant les changements d'adresse E-mail
  • détails d'une facture
  • prétend qu'il y avait des problèmes avec une facture

Tous ces scénarios sont utilisés pour convaincre le destinataire d'ouvrir le document en pièce jointe et d'activer le code macro malveillant.

Après avoir été analysée plus en détail, la campagne malware a révélé que la variante particulière d'Emotet fournit des pièces jointes contenant soit une alerte de Microsoft Office qui prétend que le contrat de licence touche à son terme ou l'avertissement qu'une copie de Word utilisée par la victime ne fonctionnera plus après le 20 septembre. Des tactiques de ce genre incitent les utilisateurs à autoriser des macros, d'autres contenus et à installer Emotet sur l'ordinateur.

Comme pour les victimes en Italie, l'E-mail contient la ligne d'objet « Numero Fattura 2019… » Après avoir été activées, les macros lancent ensuite une commande PowerShell qui utilise l'URL du site Web piraté et c'est l'endroit où la charge malveillante peut être extraite. Le botnet est prêt à attaquer les entreprises, donc les organisations doivent être conscientes qu'Emotet est de retour en action.

À propos de l'auteur
Gabriel E. Hall
Gabriel E. Hall - Un Chercheur passionné du Web

Gabriel E. Hall est une chercheuse en logiciels malveillants passionnée qui travaille avec lesvirus.fr depuis près d'une décennie.

Contactez Gabriel E. Hall
À propos de l'entreprise Esolutions

Lu dans d'autres langues
Fichiers
Logiciel
Comparez