Le dormeur est-il à nouveau en train de se réveiller ? Comme rapporté par Bleeping Computer, la société de cybersécurité Cofense vient de signaler une reprise de l’activité du botnet Emotet mardi dernier. Cela faisait trois mois environ que ce réseau malveillant n’avait pas donné signe de vie.
🚨Emotet Awakens🚨 As of 1200UTC Ivan finally got E4 to send spam. We are seeing Red Dawn templates that are very large coming in at over 500MB. Currently seeing a decent flow of spam. Septet of payload URLs and ugly macros. Sample: https://t.co/fWZ8n3PlFi 1/3 pic.twitter.com/r5uuiECWnp
— Cryptolaemus (@Cryptolaemus1) March 7, 2023
Des envois d’e-mails malveillants en provenance du réseau ont en effet été détectés en début de semaine. Ces faux appels à facture contenaient une pièce jointe d’archive de documents bureautiques contenant des macros malveillantes. Une technique hasardeuse, Microsoft ayant repris le déploiement d’une fonctionnalité bloquant les macros non fiables depuis l’été 2022.
En cas d’ouverture des fichiers, le téléchargement depuis l’exécution d’un fichier lié à Emotet était enclenché. Pour éviter la détection par des antivirus, les archives transmises sont obèses, d’un poids supérieur à 500 mégaoctets.
Volume d’envoi faible
Toutefois, comme le précise Cofense à Bleeping Computer, le volume d’envoi de ces e-mails malveillants reste faible. Pour l’entreprise, les pirates informatiques derrière le botnet sont toujours dans une phase de collecte de renseignement, en cherchant à cibler de nouvelles victimes.
Détecté pour la première fois en 2014, le cheval de Troie bancaire Emotet était devenu l’une des principales menaces informatiques. Ce programme malveillant avait évolué en devenant l’un des couteaux suisses des cybercriminels, permettant la distribution d’autres codes malveillants, comme le relevait l’Anssi dans un rapport en 2020.
Ce rôle clé de précurseur d’autres attaques informatiques en avait fait une cible prioritaire des spécialistes de la cybersécurité. Avec succès : Europol avait annoncé son démantèlement en janvier 2021 après la prise de contrôle de son infrastructure. La justice américaine avait alors signalé l’ampleur de la menace, avec 1,6 million d’adresses IP de machines infectées en un an. Reste que malgré cette belle opération, le botnet fait régulièrement reparler de lui depuis. Le signe que des développeurs sont toujours à l’œuvre derrière le logiciel malveillant.
(function(d, s, id) { var js, fjs = d.getElementsByTagName(s)[0]; if (d.getElementById(id)) return; js = d.createElement(s); js.id = id; js.src = "//connect.facebook.net/fr_FR/all.js#appId=243265768935&xfbml=1"; fjs.parentNode.insertBefore(js, fjs); }(document, 'script', 'facebook-jssdk'));