ESET Research : retour du tristement célèbre botnet Emotet, ciblant principalement l'Europe du Sud et le Japon
Publié le 06/07/2023 Dans Press Releases
Le texte suivant est issu d'un communiqué de presse et ne reflète en rien l'opinion de la rédaction.
● Emotet a lancé plusieurs campagnes de spam depuis sa réapparition après son retrait en 2021
● Depuis lors, le groupe de cybercriminalité Mealybug, qui exploite Emotet, a créé plusieurs nouveaux modules et amélioré plusieurs fois tous les modules existants
● Ensuite, les opérateurs d'Emotet ont déployé beaucoup d'efforts pour éviter la surveillance et le suivi de leur botnet
● Actuellement, Emotet est silencieux et inactif, probablement en raison de l'identification d'un nouveau vecteur d'attaque efficace
● Depuis 2022, la plupart des attaques détectées par ESET visaient l'Italie, l'Espagne, le Mexique, l'Afrique du Sud et le Japon.
BRATISLAVA - Le 6 juillet 2023 — ESET Research publie un résumé de ce qui s'est passé avec le botnet Emotet depuis son retour après un temps d’arrêt limité. Emotet est une famille de maliciels active depuis 2014, exploitée par un groupe de cybercriminalité du nom de Mealybug ou TA542. Bien qu'il ait débuté comme cheval de Troie bancaire, il a évolué pour devenir un botnet qui est devenu l'une des menaces les plus répandues au monde. En janvier 2021, Emotet a été la cible d'un retrait limité suite à une collaboration internationale de huit pays, coordonnée par Eurojust et Europol. Emotet est revenu en novembre 2021 et a lancé plusieurs campagnes de spam avec une brusque fin en avril 2023. Dans ses dernières campagnes 2022-2023, la plupart des attaques détectées par ESET visaient l'Italie, l'Espagne, le Mexique, l’Afrique du Sud et le Japon (près de la moitié).
"Emotet se propage par spams. Il peut exfiltrer des informations à partir d'ordinateurs compromis et y diffuser des maliciels tiers. Les opérateurs d'Emotet ne sont pas très regardant en ce qui concerne leurs cibles, installant leurs maliciels sur des systèmes appartenant à des particuliers, des entreprises et des grandes organisations », explique Jakub Kaloč, le chercheur d'ESET qui a travaillé sur l'analyse.
Jusqu’à la fin de 2021 et la mi-2022, Emotet s'est propagé principalement via des documents Microsoft Word et Microsoft Excel malveillants avec des macros VBA intégrées. En juillet 2022, Microsoft a changé la donne pour toutes les familles de maliciels comme Emotet et Qbot - qui avaient utilisé des e-mails de phishing avec des documents malveillants comme méthode de distribution - en désactivant les macros VBA dans les documents obtenus sur Internet.
« La désactivation (par les autorités) du principal vecteur d'attaque d'Emotet a poussé ses opérateurs à chercher de nouveaux moyens pour compromettre leurs cibles. Mealybug a commencé à expérimenter avec des fichiers LNK et XLL malveillants. Fin 2022, les opérateurs d'Emotet avaient du mal à trouver un nouveau vecteur d'attaque aussi efficace que les macros VBA. En 2023, ils ont mené trois campagnes de spam distinctes, chacune testant une voie d'intrusion et une technique d'ingénierie sociale légèrement différentes », explique Kaloč. "Mais la taille réduite des attaques et les changements constants dans l'approche suggèrent des résultats non satisfaisants".
Plus tard, Emotet a intégré un leurre dans MS OneNote et malgré les avertissements stipulant qu’il pouvait conduire à du contenu malveillant, les gens avaient tendance à cliquer dessus.
Après sa réapparition, il a eu plusieurs mises à niveau. Les caractéristiques spécifiques étaient que le botnet a changé son schéma cryptographique et a mis en œuvre plusieurs nouvelles obfuscations pour protéger ses modules. Les opérateurs d'Emotet ont fait des efforts considérables pour éviter la surveillance et le suivi de leur botnet. Ils ont aussi implémenté plusieurs nouveaux modules et amélioré les modules existants pour rester rentables.
Emotet se propage par spams. Les gens font souvent confiance à ces e-mails qui utilisent avec succès une technique de détournement du mail. Avant son retrait, Emotet utilisait des modules appelés Outlook Contact Stealer et Outlook Email Stealer, capables de voler des e-mails et des informations de contact à partir d'Outlook. Mais comme tout le monde n'utilise pas Outlook, après son retrait, Emotet s'est également concentré sur Thunderbird, une appli de messagerie alternative gratuite. Il a aussi commencé à utiliser le module Google Chrome Credit Card Steale, qui vole des informations sur les cartes de crédit stockées dans le navigateur Google Chrome.
Selon les recherches et la télémétrie d'ESET, les botnets Emotet sont silencieux depuis début avril 2023, fort probablement suite à la découverte d'un nouveau vecteur d'attaque efficace. La plupart des attaques détectées par ESET depuis janvier 2022 jusqu'à aujourd'hui visaient l'Italie (13%), l'Espagne (5%), le Mexique (5%), l'Afrique du Sud (4%) et le Japon (43%).
Pour plus d'informations techniques sur Emotet, consultez le blog “What’s up with Emotet - A brief summary of what happened with Emotet since its comeback”» sur WeLiveSecurity. Suivez ESET Research sur Twitter pour les dernières nouvelles d'ESET Research.
A propos d’ESET
Depuis plus de 30 ans, ESET® développe des logiciels et des services de sécurité informatique de pointe pour protéger les entreprises, les infrastructures critiques et les consommateurs du monde entier contre les menaces numériques toujours plus sophistiquées. De la sécurité des terminaux et des mobiles à l'EDR en passant par le chiffrement, l'authentification à double facteur, les solutions légères et performantes d'ESET protègent et surveillent 24/7, mettant à jour, en temps réel, les défenses afin d’assurer sans interruption la sécurité des utilisateurs et des entreprises. L'évolution constante des menaces nécessite un fournisseur de sécurité informatique évolutif qui permet d’utiliser la technologie de façon sûre. Ceci est supporté par les centres de R&D d'ESET dans le monde entier, travaillant à soutenir notre avenir commun. Pour plus d’information visitez www.eset.com , ou suivez-nous sur LinkedIn, Facebook, Instagram et https://www.eset.com/be-fr/
● Depuis lors, le groupe de cybercriminalité Mealybug, qui exploite Emotet, a créé plusieurs nouveaux modules et amélioré plusieurs fois tous les modules existants
● Ensuite, les opérateurs d'Emotet ont déployé beaucoup d'efforts pour éviter la surveillance et le suivi de leur botnet
● Actuellement, Emotet est silencieux et inactif, probablement en raison de l'identification d'un nouveau vecteur d'attaque efficace
● Depuis 2022, la plupart des attaques détectées par ESET visaient l'Italie, l'Espagne, le Mexique, l'Afrique du Sud et le Japon.
BRATISLAVA - Le 6 juillet 2023 — ESET Research publie un résumé de ce qui s'est passé avec le botnet Emotet depuis son retour après un temps d’arrêt limité. Emotet est une famille de maliciels active depuis 2014, exploitée par un groupe de cybercriminalité du nom de Mealybug ou TA542. Bien qu'il ait débuté comme cheval de Troie bancaire, il a évolué pour devenir un botnet qui est devenu l'une des menaces les plus répandues au monde. En janvier 2021, Emotet a été la cible d'un retrait limité suite à une collaboration internationale de huit pays, coordonnée par Eurojust et Europol. Emotet est revenu en novembre 2021 et a lancé plusieurs campagnes de spam avec une brusque fin en avril 2023. Dans ses dernières campagnes 2022-2023, la plupart des attaques détectées par ESET visaient l'Italie, l'Espagne, le Mexique, l’Afrique du Sud et le Japon (près de la moitié).
"Emotet se propage par spams. Il peut exfiltrer des informations à partir d'ordinateurs compromis et y diffuser des maliciels tiers. Les opérateurs d'Emotet ne sont pas très regardant en ce qui concerne leurs cibles, installant leurs maliciels sur des systèmes appartenant à des particuliers, des entreprises et des grandes organisations », explique Jakub Kaloč, le chercheur d'ESET qui a travaillé sur l'analyse.
Jusqu’à la fin de 2021 et la mi-2022, Emotet s'est propagé principalement via des documents Microsoft Word et Microsoft Excel malveillants avec des macros VBA intégrées. En juillet 2022, Microsoft a changé la donne pour toutes les familles de maliciels comme Emotet et Qbot - qui avaient utilisé des e-mails de phishing avec des documents malveillants comme méthode de distribution - en désactivant les macros VBA dans les documents obtenus sur Internet.
« La désactivation (par les autorités) du principal vecteur d'attaque d'Emotet a poussé ses opérateurs à chercher de nouveaux moyens pour compromettre leurs cibles. Mealybug a commencé à expérimenter avec des fichiers LNK et XLL malveillants. Fin 2022, les opérateurs d'Emotet avaient du mal à trouver un nouveau vecteur d'attaque aussi efficace que les macros VBA. En 2023, ils ont mené trois campagnes de spam distinctes, chacune testant une voie d'intrusion et une technique d'ingénierie sociale légèrement différentes », explique Kaloč. "Mais la taille réduite des attaques et les changements constants dans l'approche suggèrent des résultats non satisfaisants".
Plus tard, Emotet a intégré un leurre dans MS OneNote et malgré les avertissements stipulant qu’il pouvait conduire à du contenu malveillant, les gens avaient tendance à cliquer dessus.
Après sa réapparition, il a eu plusieurs mises à niveau. Les caractéristiques spécifiques étaient que le botnet a changé son schéma cryptographique et a mis en œuvre plusieurs nouvelles obfuscations pour protéger ses modules. Les opérateurs d'Emotet ont fait des efforts considérables pour éviter la surveillance et le suivi de leur botnet. Ils ont aussi implémenté plusieurs nouveaux modules et amélioré les modules existants pour rester rentables.
Emotet se propage par spams. Les gens font souvent confiance à ces e-mails qui utilisent avec succès une technique de détournement du mail. Avant son retrait, Emotet utilisait des modules appelés Outlook Contact Stealer et Outlook Email Stealer, capables de voler des e-mails et des informations de contact à partir d'Outlook. Mais comme tout le monde n'utilise pas Outlook, après son retrait, Emotet s'est également concentré sur Thunderbird, une appli de messagerie alternative gratuite. Il a aussi commencé à utiliser le module Google Chrome Credit Card Steale, qui vole des informations sur les cartes de crédit stockées dans le navigateur Google Chrome.
Selon les recherches et la télémétrie d'ESET, les botnets Emotet sont silencieux depuis début avril 2023, fort probablement suite à la découverte d'un nouveau vecteur d'attaque efficace. La plupart des attaques détectées par ESET depuis janvier 2022 jusqu'à aujourd'hui visaient l'Italie (13%), l'Espagne (5%), le Mexique (5%), l'Afrique du Sud (4%) et le Japon (43%).
Pour plus d'informations techniques sur Emotet, consultez le blog “What’s up with Emotet - A brief summary of what happened with Emotet since its comeback”» sur WeLiveSecurity. Suivez ESET Research sur Twitter pour les dernières nouvelles d'ESET Research.
A propos d’ESET
Depuis plus de 30 ans, ESET® développe des logiciels et des services de sécurité informatique de pointe pour protéger les entreprises, les infrastructures critiques et les consommateurs du monde entier contre les menaces numériques toujours plus sophistiquées. De la sécurité des terminaux et des mobiles à l'EDR en passant par le chiffrement, l'authentification à double facteur, les solutions légères et performantes d'ESET protègent et surveillent 24/7, mettant à jour, en temps réel, les défenses afin d’assurer sans interruption la sécurité des utilisateurs et des entreprises. L'évolution constante des menaces nécessite un fournisseur de sécurité informatique évolutif qui permet d’utiliser la technologie de façon sûre. Ceci est supporté par les centres de R&D d'ESET dans le monde entier, travaillant à soutenir notre avenir commun. Pour plus d’information visitez www.eset.com , ou suivez-nous sur LinkedIn, Facebook, Instagram et https://www.eset.com/be-fr/