Malware polymorphe : Emotet est de retour après une pause estivale

Écrit par charon
Publié le : {{ dayjs(1569251202*1000).local().format("L").toString()}}
Suivez-nous

Le démantèlement de l’infrastructure du botnet Emotet n’est manifestement pas encore à l’ordre du jour. Le malware éponyme, qui se joue des solutions de sécurité trop dépendantes des signatures, fait un retour en Europe.

Cinq ans après ses débuts en tant que cheval de Troie bancaire, Emotet fait encore parler de lui. Ce malware est à ranger dans la catégorie des malwares polymorphes ou modulables. Il s’appuie sur des bibliothèques logicielles pour évoluer et mettre à jour ses capacités. À cela s’ajoutent des fonctionnalités de type ver informatique pour favoriser sa propagation rapide sur les réseaux.

Ce caractère polymorphe lui permet de passer entre les mailles du filet des mécanismes de détection de solutions de sécurité à base de signatures, tandis que pour assurer sa présence persistante, il peut avoir recours à des clés de registre Windows et services pour un démarrage automatique.

Emotet est une de ces menaces qui démontrent à quel point il faut attacher de l’importance à choisir un antivirus ou une suite de sécurité. Une solution dont la détection exploite le machine learning pour ses moteurs d’analyse sera ainsi plus à même de faire face.

Reste que Emotet est aussi vicieux et peut par exemple générer de faux indicateurs lorsqu’il est exécuté dans un environnement de machine virtuelle et se met volontairement en sommeil dans un environnement de sandbox.

Emotet semblait avoir curieusement disparu, mais il a fait une réapparition après une sorte de pause estivale. Des signes d’activité de son infrastructure de commande et contrôle avaient notamment été repérés par des chercheurs en sécurité de Cisco Talos et Malwarebytes Labs. Proofpoint a également confirmé un retour du botnet Emotet avec une campagne de spam en Europe.

Cette campagne avec des emails d’ingénierie sociale contient des documents Word en pièces jointes ou des URL pointant vers de tels documents comprenant des macros pour le téléchargement et l’installation de Emotet.

Selon Malwarebytes Labs, Emotet commence à se propager une fois installé. Il dérobe des identifiants d’applications présentes et envoie du spam à la liste de contacts d’un utilisateur piégé. Surtout, Emotet sert de vecteur d’infection afin de rapatrier des charges utiles malveillantes encore plus dangereuses comme des ransomwares.

Si Emotet se concentre sur l’infection d’entreprises, Malwarebytes Labs prévient que les particuliers sont aussi concernés par la menace. Outre une vigilance de bon sens, de quoi envisager sérieusement l’achat d’une protection, type suite de sécurité, qui s’appuie moins sur l’utilisation des signatures.