L’un des malwares les plus virulents en circulation actuellement a refait surface en juillet et prend de l’ampleur, selon l’éditeur en cybersécurité Proofpoint qui le suit à la trace.
Le 17 juillet dernier, Proofpoint annonçait le retour d’Emotet après plus de 160 jours d’absence. Depuis, ses chercheurs ont suivi de près les nouvelles campagnes de TA542, l’acteur de la menace qui se cache derrière ce malware prolifique. Ils ont observé à nouveau de grands volumes d’emails malveillants, envoyés à une grande variété d’organisations et de nombreuses industries. Les méthodes évoluent néanmoins, avec de nouvelles régions visées (par des leurres préalablement localisés) et l’implication d’un nouveau partenaire : Qbot.
13 millions de messages frauduleux liés à Emotet sur l’année
Plus de 7 millions de nouveaux messages frauduleux ont été observés cet été sur une période de 40 jours (les campagnes de janvier/février 2020 comptaient elles plus de 6 millions de messages sur 20 jours). Le volume moyen des campagnes estivales s’élève à un peu plus de 180 000 messages par jour, contre plus de 300 000 par jour pour les campagnes de janvier/février 2020. Sur toute l’année 2020, les chercheurs Proofpoint ont comptabilisé plus de 13 millions de messages frauduleux liés à Emotet.
« Les campagnes intégrant le malware Emotet circulant via messagerie électronique sont de loin les plus virulentes en termes de volume de messages, seuls quelques autres acteurs s’en approchent. Depuis leur retour en juillet, les cybercriminels du groupe TA542 ont envoyé plus de 7 millions de messages dans près de 20 pays en 15 langues différentes, soit 8 nouvelles régions dans le monde. Cela souligne à quel point Emotet reste une menace majeure, les responsables en cybersécurité doivent rester vigilants », prévient Sherrod DeGrippo, directrice Menaces Émergentes au sein de Proofpoint
Deux nouveautés à prendre en compte
TA542 a également modifié le malware Emotet pour installer sur Qbot un malware bancaire et une porte dérobée. Qbot se connecte à un serveur distant, ce qui permet au cybercriminel d’accéder au système infecté. Qbot peut voler des informations bancaires et enregistrer les frappes au clavier, ce qui lui permet de voler les noms d’utilisateur et les mots de passe.
Dans les dernières campagnes estivales observées, TA542 continue d’utiliser la tactique du “détournement de fil de discussion”. La pratique consiste à insérer des emails malveillants dans des fils de discussion existants et en cours, afin d’augmenter leur légitimité. Ces campagnes utilisent également les thèmes de COVID-19 et TA542 a été l’un des premiers à adopter les leurres sur ce thème dès janvier 2020.