Une opération d’Europol a permis de mettre à jour Emotet le 25 avril afin de supprimer le logiciel malveillant de tous les ordinateurs infectés.

Emotet a commencé comme l’un des nombreux chevaux de Troie bancaires, avec ses premières apparitions en 2014. Puis, au fil du temps, il a évolué vers un logiciel malveillant modulaire. Il s’agit notamment de l’envoi de courriers électroniques non sollicités ou du vol d’argent. Sa principale fonction, ces derniers temps, était d’agir comme un téléchargeur. Dans ce rôle, il a servi à télécharger et à exécuter d’autres logiciels malveillants tels que Trickbot. Il y a quelques mois, j’avais évoqué dans ce blog la manière dont sa propagation a été arrêtée.

Workflow d’Emotet. Source : CISA

Le 25 avril, Europol a publié une mise à jour du botnet avec EmotetLoader.dll, une DLL 32 bits qui exécute une routine permettant de supprimer les logiciels malveillants des ordinateurs infectés. Deux chercheurs de Malwarebytes, Jérôme Segura et Hasherezade, ont analysé son fonctionnement.

L’une des nouvelles routines, uninstall_in_april, est un vérificateur de date. Si le délai est dépassé, le 25 avril, la sous-routine de désinstallation est exécutée. Sinon, il continue à vérifier dans une boucle jusqu’à ce que la condition soit remplie.

Routine de vérification des dates. Source : Malwarebytes

La sous-routine pour désinstaller Emotet est simple. Tout d’abord, il supprime le service associé à Emotet, puis il supprime la clé de registre et tente de déplacer le fichier vers %temp%. Enfin, il met fin au processus, ce qui prend en compte les deux mécanismes de persistance du malware. La clé de registre est indiquée dans les scénarios où l’installation ne nécessite pas de privilèges, et le service associé est indiqué lorsque l’échantillon est exécuté avec des privilèges d’administrateur.

L’infrastructure d’Emotet a été mise sur écoute fin janvier et les communications avec le botnet ont été redirigées vers des serveurs de commande et de contrôle appartenant à l’Office fédéral allemand d’investigation criminelle (Bundeskriminalamt). Il convient de noter que cette mise à jour ne supprime pas le logiciel malveillant installé par Emotet.

Plus d’information:
https://www.bleepingcomputer.com/news/security/emotet-malware-nukes-itself-today-from-all-infected-computers-worldwide/
https://digit.fyi/goodbye-emotet-notorious-botnet-permanently-deleted/
https://blog.malwarebytes.com/threat-analysis/2021/01/cleaning-up-after-emotet-the-law-enforcement-file/