Le malware Emotet fait son grand retour

Officiellement démantelé en janvier dernier par Europol, Emotet est de nouveau présenté comme une menace sérieuse.

Repéré pour la première fois en 2014 alors qu'il était un cheval de Troie bancaire, Emotet a régulièrement évolué constituant la plus sérieuse menace de sécurité informatique de l'avis de nombreux experts. Le 27 janvier 2021, Europol annonçait l'avoir mis hors d'état de nuire suite à une vaste opération mondiale, après un automne 2020 marqué par une recrudescence d'activité du malware. Le répit fut de courte durée.

Utiliser « l'infrastructure » TrickBot

Depuis quelques jours, divers experts en cybersécurité ont indiqué un regain d'activité du logiciel malveillant Emotet. L'alerte a notamment été donnée par Cryptolaemus, un groupe de chercheurs en sécurité qui s'est spécialisé dans la lutte contre Emotet.

Cryptolaemus explique qu'une nouvelle version d'Emotet a été observée et qu'elle utilise plus particulièrement des machines qui s'étaient autrefois retrouvées infectées par un autre malware, Trickbot. GData et Advanced Intel ont alors confirmé la chose et sont entrées dans les détails.

Elles estiment effectivement que si le « nouveau Emotet » est évidemment très proche de l'original, il intègre aussi de nombreuses différences qui contribuent à renforcer son efficacité. Il est ainsi question d'utiliser un système de chiffrement HTTPS pour assurer le trafic entre le malware et les serveurs de contrôle.

Les chercheurs de Crytpolaemus ont en outre souligné que le command buffer est plus complexe qu'autrefois : « Nous pouvons maintenant confirmer que le command buffer a été modifié. Il comporte à présent 7 commandes contre 3-4 sur les précédentes versions ».

La France en première ligne ?

Cryptolaemus précise avoir observé de larges campagnes de courriers électroniques « suspects » destinés à propager Emotet afin que les machines soient infectées par le malware. Sans surprise, il s'agit encore et toujours d'un des moyens privilégiés pour répandre son code.

Ces campagnes d'emails permettent d'infecter de nombreuses machines qui, après avoir contacté un serveur de contrôle du botnet, peuvent à leur tour diffuser le logiciel malveillant. L'idée est, bien sûr, de reconstruire un vaste réseau de machines infectées, aux quatre coins de la planète.

Rappelons qu'à l'automne 2020, la France avait été une des cibles privilégiées des attaques Emotet. La question se pose aujourd'hui de savoir si elle sera à nouveau au cœur de la tourmente. Avant l'intervention des différentes forces de police en début d'année 2021, Emotet était l'un des botnets les plus répandus et on estimait à plus de 1,6 million le nombre de machines infectées par le malware.

Considéré comme « plus efficace que jamais », Emotet est-il en mesure de faire tomber ce triste record ? Les spécialistes estiment qu'à l'heure actuelle son infrastructure croît rapidement avec plus de 246 machines infectées agissant comme centre de commande. Ils suggèrent aux administrateurs réseau de bloquer les adresses IP liées à ces appareils.

Source : TechRadar