Emotet, le cheval de Troie bancaire qui se mua en ver

Les vers sont de retour. Après le ravageur NotPetya/ExPetr/Nyetya/EternalPetya, deux logiciels malveillants bancaires se sont dotés de capacités d’auto-réplication sur un réseau local.

Récemment, l’université de Twente alertait sur la distribution de l’un d’eux, Emotet, via des messages électroniques, aux Pays-Bas. Le piège ? Un document Word en pièce jointe demandant l’activation des macros. La spécialité d’Emotet ? La collecte d’identifiants de services de banque en ligne. Dans les forums de l’institut SANS, Brad Duncan l’avait disséqué un peu plus tôt.

Invoice #spam campaign distributing documents with malicious #macro that runs a #PowerShell script to download online banking Trojan #Emotet pic.twitter.com/2HEdywcjyY

— Microsoft MMPC (@msftmmpc) June 26, 2017

Mais les auteurs d’Emotet ont multiplié les astuces pour assurer sa propagation. Déjà, au moins de mai, Fortinet alertait sur la capacité du logiciel malveillant à parcourir les fichiers PST d’Outlook pour y collecter des adresses e-mail de futurs destinataires. Les informations sont transmises à un serveur de commande et de contrôle. Ce dernier fournit en retour un modèle de pourriel à transmettre à de nouvelles cibles, ainsi que la liste de leurs adresses. Le logiciel malveillant se charge d’envoyer les e-mails malicieux.

Mais récemment, les équipes de Fidelis Security ont mis la main de nouveaux composants d’Emotet, lui offrant des capacités supplémentaires de propagation. Dans un billet de blog, elles en détaillent le fonctionnement. Et l’un d’entre eux est chargé d’énumérer les ressources réseau en essayant d’y accéder, comme utilisateur ou comme administrateur, en force brute, pour s’y répliquer. 

With Emotet they recreate the payload every few hours, and it gets pulled to infected nodes automatically. Aim is persistent AV evasion. https://t.co/KIliACLv0u

— Kevin Beaumont (@GossiTheDog) July 30, 2017

Kevin Beaumont suit activement Emotet, même si celui-ci s’avère particulièrement furtif. Régulièrement, il reconnaît que des échantillons sont passés au travers des mailles de ses filets. Et il y a une bonne raison à cela : « avec Emotet, [les attaquants] recréent la charge utile à quelques heures d’intervalle, elle est transmise automatiquement aux nœuds infectés. Le but est d’échapper durablement aux anti-virus ».

Mais Emotet n’est pas le seul cheval de Troie bancaire à s’être récemment doté de capacités de propagation en local. TrickBot vient aussi d’être doté de fonctionnalités de type ver, comme le décrivent les équipes de FlashPoint Intelligence, après avoir travaillé avec celles de Deloitte. Son nouveau module dédié « apparaît se propager via SMB, parcourir les domaines à la recherche de listes de serveurs via l’API Windows NetServerEnum, et énumérer d’autres ordinateurs via LDAP ». L’implémentation des capacités de ver ne serait toutefois pas encore finalisée : « le module ver apparaît relativement brut à ce stade, mais il est évident que le gang de TrickBot a appris des grands incidents comme WannaCry et NotPetya et cherche à en répliquer la méthodologie ».