Malgré les efforts déployés par Europol au début de l’année pour démanteler l’infrastructure de ce qui a été qualifié d’un des virus informatiques les plus dangereux au monde, Emotet fait un retour en force. Quelques mois plus tard, le malware TrickBot est utilisé pour distribuer ce qui semble être une nouvelle version d’Emotet aux systèmes qui ont été précédemment infectés par TrickBot.
Selon un nouveau rapport de Luca Ebach, le 14 novembre, Emotet a été détecté par son équipe d’analyse alors qu’elle exécutait un échantillon de TrickBot dans sandbox. Cette variante d’Emotet se présente sous la forme d’un fichier DLL. Lorsqu’ils ont analysé l’échantillon trouvé, il semblait avoir été compilé quelques minutes avant que l’on observe son déploiement sur les botnets TrickBot.
Cette nouvelle variante se caractérise notamment par le fait que le cryptage destiné à masquer les données diffère de la version précédente du malware. En outre, l’échantillon trouvé utilise une autorité de certification auto-signée pour pouvoir utiliser le protocole HTTPS afin de protéger le trafic réseau, ainsi que divers flux de contrôle pour obscurcir le code. Une comparaison entre le code de l’ancien et du nouvel échantillon peut être observée dans les images ci-dessous, qui montrent qu’au lieu d’utiliser des flux de contrôle If-else pour obscurcir le code, ils utilisent une boucle while et l’expression switch-case pour obscurcir le code.
L’équipe d’analyse, dont fait partie Luce Ebach, poursuit actuellement ses recherches pour en savoir plus sur cette nouvelle variante afin de freiner l’Emotet.
Plus d’information:
https://cyber.wtf/2021/11/15/guess-whos-back/
https://thehackernews.com/2021/11/trickbot-operators-partner-with-shatak.html
Laisser un commentaire