Dans le monde cyber, les victoires sont souvent de courte durée. En janvier dernier, Europol et les forces de l’ordre de plusieurs pays avaient claironné la fin d’Emotet, un botnet qualifié de « maliciel le plus dangereux du monde ». En effet, son infrastructure avait été démantelée, avec la prise de contrôle de plusieurs centaines de serveurs de commande et contrôle.
A découvrir aussi en vidéo :
Mais, mauvaise nouvelle, Emotet est en train de revenir. Une nouvelle mouture de ce malware a été détectée par le chercheur en sécurité, Luca Ebach, sous la forme d’un fichier DLL venu dans les bagages du botnet TrickBot.
L’expert n’en croyait d’abord pas ses yeux et a donc procédé à une analyse manuelle. D’après les premiers résultats, cela concorde bien avec Emotet. C’est le même type de trafic réseau et la même façon de coder. Le chercheur a vu aussi quelques améliorations au niveau du chiffrement des données statiques et du trafic.
Plusieurs dizaines de serveurs C2C identifiés
De leur côté, les chercheurs d’Abuse.ch ont commencé à identifier les serveurs de commande et contrôle de cette nouvelle version. Leur nombre est en croissance régulière. Ils n’étaient qu’une poignée il y a quelques jours. Désormais, ils sont déjà 27, dont 16 sont actifs.
Bref, il n’y a pas de doute, quelqu’un est en train de relancer la plateforme Emotet.
« Il est de retour et il est mieux équipé. Le code et l’infrastructure ont été mis à jour, avec une meilleure sécurité. Il doit s’agir de quelqu’un qui a eu accès au code source d’origine », estime le chercheur en sécurité Kevin Beaumont, sur Twitter.
Les premières attaques sont d’ores et déjà en cours. Selon plusieurs chercheurs, Emotet est distribué actuellement par l’intermédiaire de documents vérolés intégrés dans du spam, principalement des fichiers Word, Excel ou ZIP.
Dans les premiers cas, l’utilisateur est incité à autoriser les commandes macros, ce qui provoque l’exécution du code malveillant. Un procédé classique, mais efficace. Nous risquons donc d’avoir une recrudescence de campagnes de spam vérolé d’ici à la fin de l’année. Gare aux pièces jointes !
Source : The Hacker News