Emotet prend de l’ampleur après plus de 160 jours d’absence

0

Le 17 juillet dernier, Proofpoint annonçait le retour d’Emotet après plus de 160 jours d’absence. Depuis, ses chercheurs ont suivi de près les nouvelles campagnes de TA542, l’acteur de la menace qui se cache derrière ce malware prolifique. En cohérence avec les campagnes précédentes, les chercheurs ont observé à nouveau de grands volumes d’emails malveillants, envoyés à une grande variété d’organisations et de nombreuses industries. Les méthodes évoluent néanmoins, avec de nouvelles régions visées (par des leurres préalablement localisés) et l’implication d’un nouveau partenaire : Qbot. 

Plus de 7 millions de nouveaux messages frauduleux ont été observés cet été sur une période de 40 jours, quand les campagnes de janvier/février 2020 comptaient plus de 6 millions de messages sur 20 jours. Le volume moyen des campagnes estivales s’élève à un peu plus de 180 000 messages par jour, contre plus de 300 000 par jour pour les campagnes de janvier/février 2020. Sur toute l’année 2020, les chercheurs Proofpoint ont comptabilisé plus de 13 millions de messages frauduleux liés à Emotet

« Les campagnes intégrant le malware Emotet circulant via messagerie électronique sont de loin les plus virulentes en termes de volume de messages, seuls quelques autres acteurs s’en approchent. Depuis leur retour en juillet, les cybercriminels du groupe TA542 ont envoyé plus de 7 millions de messages dans près de 20 pays en 15 langues différentes, soit 8 nouvelles régions dans le monde. Cela souligne à quel point Emotet reste une menace majeure, les responsables en cybersécurité doivent rester vigilants » affirme Sherrod DeGrippo, Directrice Menaces Émergentes au sein de Proofpoint.

L’un des principaux changements de ces campagnes est que TA542 a élargi la distribution géographique de ses messages malveillants et les langues utilisées dans les leurres.

TA542 a également modifié le malware Emotet pour installer sur Qbot un malware bancaire et une porte dérobée. Qbot se connecte à un serveur distant, ce qui permet au cybercriminel d’accéder au système infecté. Qbot peut voler des informations bancaires et enregistrer les frappes au clavier, ce qui lui permet de voler les noms d’utilisateur et les mots de passe.

Dans les dernières campagnes estivales observées, TA542 continue d’utiliser la tactique du “détournement de fil de discussion”. La pratique consiste à insérer des emails malveillants dans des fils de discussion existants et en cours, afin d’augmenter leur légitimité. Ces campagnes utilisent également les thèmes de COVID-19 et TA542 a été l’un des premiers à adopter les leurres sur ce thème dès janvier 2020.

Cette dernière série de campagnes montre un mélange d’expansion prudente et d’utilisation de tactiques stratégiques. TA542 combine sa capacité à mener des campagnes massives par email avec sa maîtrise des techniques de distribution géographique et de localisation des leurres. Sur la base de l’expérience passée, les chercheurs Proofpoint s’attendent à ce que TA542 poursuive son schéma de campagnes massives ponctuées de pauses, suivies à leur tour d’un retour à l’activité avec quelques changements modérés qui élargissent leur portée et leur efficacité.

Share.

About Author

Directrice de Globb Security France et Espagne. Journaliste et rédactrice. Avant son incorporation à GlobbTV, elle a développé la plupart de son activité dans le groupe éditorial Madiva. Twitter: @Drodriguezleal.

Leave A Reply