Les chercheurs en cybersécurité de Proofpoint pistent depuis plusieurs mois l'activité intense du botnet Emotet. Le 6 juin dernier, ils ont observé un nouveau module Emotet qui permet de siphonner les données bancaires sur Chrome.
Le botnet Emotet est de retour. Bien connu des chercheurs en cybersécurité, il avait été observé en 2014 et identifié comme cheval de Troie bancaire. Le malware était un peu la coqueluche du groupe T1542, plus connu sous le nom de Mummy Spider. Début 2021, une action internationale coordonnée par Europol et réunissant entre autres, les forces de l’ordre des Etats-Unis, du Rouyaume-Uni, de France, ou encore d’Ukraine, avait permis de démanteler l'infrastructure d'Emotet.
Problème : au premier trimestre 2022, l’activité du malware a explosé de 11.000 % par rapport au dernier trimestre 2021. Force est de constater qu’un peu plus d’un an plus tard, Emotet est de retour. Les chercheurs de Proofpoint l’ont notamment identifié dans plusieurs campagnes de phising qui ont ciblé des entreprises japonaises.
Méthodes de diffusion expérimentales
Il utilise cette fois un module de carte de crédit afin de récolter les informations bancaires stockées dans les profils utilisateurs de Chrome. Une fois les informations subtilisées, celles-ci sont envoyées sur des serveurs de commande et de contrôle (C2) différents de ceux utilisés par le module de vol de carte. Le malware est diffusé via des campagnes e-mail et est utilisé comme distributeurs d’autres charges utiles comme des ransomwares.
Les pirates testent également de nouvelles méthodes de diffusion à l'aide des URL OneDrive et des pièces jointes .LNK PowerShell pour contourner les restrictions de macros de Microsoft.