TA542, un acteur malveillant qui distribue le malware Emotet, est (encore) de retour, après une longue pause dans la distribution d’emails malveillants.

L'acteur s’est absenté pendant près de quatre mois, vu pour la dernière fois le 13 juillet 2022 avant de revenir le 2 novembre 2022. 

Proofpoint a suivi les méthodes de diffusion, le ciblage régional et a effectué une analyse du malware Emotet et de la charge utile IcedID.

Dans l'ensemble, cette activité est similaire aux campagnes de juillet et de nombreuses tactiques observées précédemment restent les mêmes, cependant les nouveaux changements et améliorations incluent :

• De nouveaux leurres visuels d'attachement Excel
• Changements apportés au binaire d'Emotet
• Le chargeur IcedID déposé par Emotet est une nouvelle version légère du chargeur
• Rapports sur le largage de Bumblebee en plus de IcedID

Sherrod DeGrippo Vice Présidente de l’équipe Threat Research and Detection de Proofpoint, a déclaré « Emotet est un réseau incroyablement puissant de propagation de malware.

L’entité existe depuis des années, et représente l’un des acteurs de la menace les plus importants que nous ayons jamais suivis en termes de volume d’attaques ciblées. Nous le suivons de très près en raison de sa persévérance et de ses tactiques toujours plus innovantes.

Nous n’avions pas vu Emotet depuis juillet dernier, et il est réapparu ce mois-ci.

Avec ce retour, nous avons pu constater certains changements et quelques améliorations dans leur stratégie d’attaque – le groupe utilise désormais de nouvelles pièces jointes Excel comme leurres ; il y a plusieurs mises à jour notables du code binaire, et certaines personnes rapportent qu’il aurait laissé tomber un autre téléchargeur de logiciels malveillants appelé Bumblebee.

Par ailleurs, et comme nous l’avions déjà signalé, Emotet semble avoir délaissé l’utilisation du chargeur de payload IcedID. Nous avons aussi pu observer des centaines de milliers de messages par jour utilisant Emotet, y compris des pièces jointes en grec, anglais, italien, Français et japonais.

Tous les signaux indiquent un retour d’Emotet en pleine capacité, et ses nouvelles fonctionnalités démontrent l’émergence d’un réseau de diffusion puissant, faisant appel à de nombreuses et grandes familles de logiciels malveillants.

Ce qui est particulièrement intéressant ici, c’est qu’Emotet continue de fonctionner et d’évoluer. Nous l’avons vu pendant des années, et il ne montre aucun signe d’arrêt de ses activités. Il continue de mourir et de revenir à la vie tel un phénix ou un chat avec plus de neuf vies. »

Si vous souhaitez en savoir plus.