Le redoutable cheval de Troie Emotet est de retour après une interruption de cinq mois, lançant une nouvelle campagne furieuse de distribution de logiciels malveillants, préviennent les chercheurs.
Des chercheurs de Cryptolaemus, un groupe qui suit Emotet, ont observé l’acteur de la menace prendre soudainement vie et spammer des adresses e-mail dans le monde entier avec des e-mails de phishing, au petit matin du 2 novembre.
« On dirait qu’Ivan a encore besoin d’argent, alors il est retourné au travail. Soyez à l’affût des fichiers XLS directement joints et des fichiers XLS compressés et protégés par mot de passe », a averti le groupe dans un Fil Twitter (s’ouvre dans un nouvel onglet).
Fichiers Office militarisés
Comme d’habitude, la campagne s’articule autour de documents Office militarisés, dans ce cas particulier – des fichiers Excel contenant des macros malveillantes.
L’auteur de la menace détourne les chaînes de messagerie existantes, en utilisant la fonction de réponse pour distribuer le document. Il y a cependant quelques changements notables dans le fonctionnement de l’astuce, car Microsoft a récemment désactivé les macros par défaut et demande aux administrateurs d’autoriser spécifiquement l’exécution de la fonctionnalité.
De plus, Windows ajoute désormais l’indicateur Mark-of-the-Web (MoTW) à tous les fichiers téléchargés depuis Internet. Une fois ouverts, les fichiers marqués MoTW afficheront un message indiquant qu’ils ont été téléchargés à partir d’un emplacement non sécurisé et qu’ils ne peuvent être ouverts qu’en mode protégé, pour protéger les utilisateurs contre l’exécution accidentelle d’une macro malveillante.
Cela a incité les criminels à ajouter un message spécifique au fichier, imitant l’avertissement de sécurité d’Excel (la barre horizontale jaune au-dessus du contenu) et indiquant que, pour exécuter le fichier, il doit être placé dans le dossier Modèles d’Office.
Tous les fichiers exécutés à partir du dossier Modèles exécutent automatiquement des macros. En effet, il n’est pas si facile d’ajouter des fichiers à ce dossier spécifique, car Windows demande l’autorisation de l’administrateur, mais il y a de fortes chances que de nombreuses victimes ignorent ces signaux d’alarme évidents.
Jusqu’à présent, Emotet est en sommeil sur des terminaux compromis (s’ouvre dans un nouvel onglet), les chercheurs ne peuvent donc pas déterminer pour quel type de campagne il est utilisé. Dans le passé, Emotet était utilisé pour supprimer les balises Cobalt Strike, les logiciels malveillants TrickBot et autres.
Via : BleepingComputer (s’ouvre dans un nouvel onglet)