Après une pause de trois mois, les activités de spam Emotet ont repris en mars 2023, lorsqu’un botnet connu sous le nom d’Epoch 4 a commencé à distribuer des documents malveillants intégrés dans des fichiers Zip attachés aux e-mails.
Nous avons suivi les efforts des acteurs de la menace pour déployer une nouvelle infrastructure de commande et de contrôle (C&C), où nous avons détecté des pics d’activité en janvier et février 2023. Le tableau 1 montre les déploiements de l’infrastructure de serveurs C&C Emotet au début de l’année 2023.
Les acteurs de la menace derrière Emotet continuent d’utiliser des documents malveillants contenant des macros pour distribuer la charge utile malveillante. Il est important de noter que, bien que Microsoft ait désactivé les macros provenant d’Internet par défaut en 2022, le modèle de document utilise des techniques d’ingénierie sociale pour inciter les utilisateurs à activer les macros et permettre l’attaque de se dérouler comme prévu.
Ces acteurs ont adopté l’utilisation du remplissage binaire comme technique d’évasion, où le document de largage et les fichiers DLL Emotet sont gonflés à plus de 500 mégaoctets pour éviter les solutions de sécurité. D’autres techniques d’évasion de défense similaires ont été observées auparavant chez d’autres acteurs malveillants.
Une fois qu’un utilisateur active les macros pour le document malveillant, il téléchargera un fichier ZIP à partir de l’une des sept URL codées en dur et obscurcies. Le macro vérifie ensuite si la réponse est de 200 (indiquant une récupération réussie du fichier) et si ce fichier est un fichier PE ou un fichier Zip.
Le macro utilise la méthode CopyHere() de l’objet Shell32.FolderItems pour extraire le contenu du fichier Zip dans le dossier de destination, puis supprime les fichiers du dossier temporaire. Enfin, regsvr32.exe est invoqué et la DLL est chargée avec le commutateur /s pour exécuter silencieusement la charge utile Emotet et infecter le terminal.
Pour ses routines de vol et de spam, Emotet copie certutil.exe (un outil en ligne de commande légitime) dans le répertoire temporaire, qui démarre dans un état suspendu puis vidé. Le logiciel malveillant chargera ensuite plusieurs modules avant de reprendre l’exécution. Il est possible que des charges utiles supplémentaires soient déposées à l’avenir pour permettre l’accès à d’autres acteurs de la menace.
Le remplissage binaire est utilisé pour gonfler la taille des fichiers afin qu’ils dépassent les limitations de taille imposées par les solutions anti-malware. Dans cet exemple, le DLL Emotet est rempli de 00 octets dans l’overlay, gonflant le fichier PE de 616 Ko à 548,1 Mo.
Emotet est une menace prolifique et résiliente, ayant même survécu à un démantèlement de son infrastructure en 2021. Il ne serait pas surprenant de voir Emotet évoluer davantage lors d’attaques futures, en adoptant d’autres méthodes de distribution de logiciels malveillants, en utilisant de nouvelles techniques d’évasion et en intégrant des charges utiles supplémentaires de deuxième et même de troisième niveau dans ses routines.
Pour se protéger contre les infections par les e-mails de spam malveillants, les utilisateurs doivent être prudents face aux e-mails provenant d’expéditeurs inconnus ou ayant des objets suspects. Ce type d’e-mails est souvent associé à des techniques d’ingénierie sociale conçues pour inciter les destinataires à cliquer sur un lien ou télécharger une pièce jointe contenant un logiciel malveillant. Les utilisateurs doivent également s’assurer que les macros sont désactivées dans les applications Microsoft Office et éviter de les activer même lorsqu’ils y sont invités. L’utilisation de filtres anti-spam peut également aider à filtrer automatiquement les e-mails suspects ou indésirables avant qu’ils n’atteignent la boîte de réception de l’utilisateur. En suivant ces précautions, les utilisateurs individuels et les organisations peuvent considérablement réduire le risque d’infection par des e-mails de spam malveillants.
