EMOTET DÉMARRE L’ANNÉE AVEC UNE NOUVELLE CAMPAGNE DE PROPAGATION

by chebbi abir

Depuis que le botnet Emotet a été réactivé il y a quelques semaines et a commencé à inonder les boîtes aux lettres à travers le monde, nous avons analysé de nombreux cas ciblant également les utilisateurs espagnols . Bien qu’il ait été observé que les criminels derrière cette menace ont tendance à respecter les vacances, cela ne nous a pas empêché de continuer à observer des courriels malveillants comme celui que nous analysons ci-dessous cette semaine.

E-mails avec de vrais expéditeurs

Comme d’habitude avec Emotet, les e-mails que les criminels utilisent proviennent généralement de vrais expéditeurs qui ont déjà été infectés. Si nous regardons l’un des e-mails détectés au cours des dernières heures, nous pouvons voir comment l’e-mail est envoyé depuis le serveur d’une entreprise espagnole, mais, à son tour, un utilisateur du Pérou apparaît également comme l’expéditeur. Cela peut nous donner une idée de la portée internationale d’Emotet, affectant des milliers d’utilisateurs de différents pays.

De plus, les criminels sont souvent responsables de la personnalisation des modèles en fonction du pays ou des régions concernés. Ainsi, nous pouvons voir des modèles en anglais, en japonais ou, comme dans ce cas, en espagnol, bien que cette fois le contenu soit assez bref et ne fournisse qu’un mot de passe pour ouvrir le fichier joint et l’adresse e-mail de l’expéditeur supposé.

Il est important de se rappeler qu’Emotet a utilisé diverses stratégies ces dernières années pour essayer de tromper les utilisateurs afin qu’ils ouvrent les pièces jointes qui accompagnent généralement ces types d’e-mails. Ces techniques incluent notamment les conversations précédentes entre l’utilisateur qui reçoit l’e-mail et un expéditeur qui a déjà été infecté, nous devons donc être très prudents lors de l’ouverture de pièces jointes non sollicitées.

Document Word malveillant

Comme d’habitude dans le cas d’Emotet et d’autres menaces similaires, le fichier zip joint que nous pouvons ouvrir en entrant le mot de passe fourni dans le corps du message contient un fichier Microsoft Word. Les fichiers de bureautique de ce type (principalement le traitement de texte et les feuilles de calcul) sont utilisés par les criminels depuis de nombreuses années pour propager des menaces, et même en 2021, ils restent un élément important de nombreuses attaques simples et avancées.

MS Word a depuis longtemps ouvert tous les fichiers dans une sorte de «mode protégé» précisément pour empêcher l’exécution automatique de macros malveillantes. Mais les criminels ont trouvé un moyen de contourner cette protection et c’est aussi simple que de demander à l’utilisateur d’activer l’exécution de contenu pour démarrer la chaîne d’infection.

Nous avons déjà vu le modèle utilisé dans ce document malveillant lors des précédentes campagnes Emotet, mais depuis sa réapparition peu avant Noël, les criminels ont inclus une fenêtre d’erreur afin que les utilisateurs ne soupçonnent rien si, après avoir activé l’option ” Activer la modification »dans ce document, ils ne voient pas le contenu attendu.

À partir de ce moment, la chaîne d’infection elle-même commence, qui consiste à exécuter une commande PowerShell obscurcie pour se connecter à l’un des multiples sites Web contrôlés par les attaquants pour télécharger la charge utile, puis se connecter à l’un des centres commande et contrôle pour recevoir de nouvelles commandes et télécharger des logiciels malveillants supplémentaires.

Concernant la commande PowerShell utilisée, nous voyons qu’une obfuscation basique en Base64 est toujours utilisée pour essayer de passer inaperçu. Voici comment la commande brute apparaît lorsque vous suivez la chaîne d’infection.

Une fois désofusqués, nous voyons comment il faudrait encore éliminer les caractères que les criminels incluent pour concaténer des chaînes et rendre difficile la détection des sites Web malveillants qui sont utilisés pour héberger la charge utile appartenant à la deuxième phase de l’attaque. Même sans avoir fini de nettoyer le code de commande PowerShell, nous pouvons voir comment certains de ces sites Web sont référencés et il n’est pas trop difficile de trouver ces URL.

Si nous autorisons l’accès à l’un de ces sites Web, un code malveillant appartenant à la deuxième phase de l’attaque sera téléchargé, ce qui est généralement lié au vol d’informations. Pour cela, d’autres malwares sont utilisés, comme Trickbot ou Qbot , spécialisés précisément dans le vol d’informations à ses victimes. De plus, les criminels ne se concentrent pas uniquement sur la machine qu’ils infectent, car ils utilisent souvent des outils pour effectuer des mouvements latéraux au sein d’un réseau d’entreprise et accéder à des systèmes contenant des informations intéressantes ou capables de gérer à distance les ordinateurs du réseau.

Si nous avons une solution de sécurité installée sur notre système, il est probable que nous serons en mesure de bloquer l’accès à ces sites Web compromis et d’empêcher le téléchargement de ce malware. Ceci est particulièrement important non seulement pour empêcher le vol d’informations confidentielles, mais également pour empêcher le téléchargement de ransomwares tels que les logiciels malveillants de troisième étape qui crypte toutes les informations et empêche le travail normal sur notre réseau d’entreprise.

conclusion

Comme nous venons de le voir, les criminels derrière Emotet ont été à nouveau très actifs ces dernières semaines et on s’attend à ce qu’ils continuent de l’être pendant les prochains jours, au moins jusqu’au 7 janvier, date à laquelle Noël orthodoxe est célébré. en Russie. Au cours des années précédentes, nous avons observé comment, à ces dates, ce type de campagne s’arrête généralement pendant quelques semaines, et bien qu’il ne soit pas possible de le confirmer pleinement, il est probable que cette année, la même chose se produise.

Dans tous les cas, nous devons apprendre à reconnaître ce type d’e-mails et mettre en place des mesures de sécurité pour les bloquer et empêcher l’exécution de code malveillant dans notre système, sensibiliser les utilisateurs qui reçoivent ces e-mails, installer et configurer des solutions de sécurité capables de bloquer les menaces et en établissant des autorisations de base et en segmentant les réseaux pour empêcher les mouvements latéraux de menaces qui entraînent souvent la compromission de l’ensemble du réseau d’entreprise.
Pour en savoir plus:

https://blogs.protegerse.com/2021/01/05/emotet-empieza-el-ano-con-una-nueva-campana-de-propagacion/

Top

Interdit de copier  ce contenu