Joerg Habermeier - stock.adobe.c
Une version 64 bits d’Emotet très furtive
La vigilance face aux courriels piégés est un peu plus de rigueur. Le maliciel Emotet, qui se propage par ce biais, vient d’arriver avec une mouture 64 bits qui apparaît bien échapper, pour le moment, à la détection statique.
Le collectif Cryptolaemus, qui suit de près Emotet, vient de lancer l’alerte. Les opérateurs de ce maliciel distribuent désormais une version 64 bits de son module de base, le loader. Et celle-ci s’avère particulièrement furtive : le niveau de détection par les moteurs d’analyse statiques embarqués par l’entrepôt spécialisé VirusTotal, est encore très bas. Dix-huit moteurs d’analyse, sur un total de 68, reconnaissent le maliciel à l’heure où sont écrites ces lignes. Mais il y a un léger mieux : 24h plus tôt, ils n’étaient que deux.
Tombé fin janvier 2021 à la suite d’une opération de police internationale, Emotet a fait son retourau cours du mois novembre suivant. Le code malicieux du botnet avait alors commencé par être distribué via Trickbot. C’était son epoch 4. Il a ensuite repris sa distribution autonome, son epoch 5. Début décembre 2021, une évolution d'Emotet a été observée, rendant la menace encore plus pressante et réduisant la fenêtre d'opportunité de détection.
Kaspersky vient de faire état d’une forte progression du nombre de courriels piégés visant le monde des entreprises, avec une campagne distribuant Emotet et Qbot : ce nombre est passé de 3 000 courriels observés en février, à environ 30 000 en mars. Pour l’éditeur, cette croissance est à imputer à un renforcement de l’activité d’Emotet. Il précise avoir observé des pourriels en Anglais, Français, Hongrois, Italien, Norvégien, Polonais, Russe, Slovène, et Espagnol.
Une semaine avant l’alerte de Kaspersky, Check Point estimait de son côté qu’Emotet était le maliciel le plus répandu en mars 2022, avec une présence deux fois plus soutenue qu’au mois précédent. Selon l’équipementier, Emotet profite notamment de l’arrêt des activités de Trickbot.
Début mars, l’italien TG Soft, créateur du service HaveIBeenEmotet, indiquait de son côté avoir observé un important volume de compromissions avec Emotet sur les domaines japonais. Selon les données du service, des comptes de messagerie compromis dans le monde du notariat, en France, ont été sensiblement mises à contribution par les opérateurs d’Emotet en mars, bien plus qu’en février.
Se protéger d’une compromission avec Emotet, et autre maliciel distribué par la messagerie électronique, n’est nécessairement trivial, mais n’a rien d’impossible. Les experts d’Advens, I-Tracing, et Intrinsec, avaient précédemment partagé leurs conseils dans les colonnes du MagIT. Leurs recommandations sont toujours d’actualité.