learn.hack.repeat

Étiquette : TrickBot

Résurgence du botnet Emotet infectant plus de 100 000 ordinateurs

Après avoir fait un retour en force en novembre de l’année dernière, Emotet montre à nouveau une croissance régulière dans l’infection des ordinateurs, accumulant plus de 100 000 hôtes infectés.

Emotet revisited: pervasive threat still a danger to businesses |  Malwarebytes Labs
Source: Malwarebytes Labs

Selon des recherches récentes, Emotet n’a pas atteint l’ampleur qu’il avait autrefois, bien qu’il montre une forte résurgence après l’interruption de 10 mois en 2021. Depuis novembre, 130 000 hôtes répartis dans 179 pays ont été infectés.

Avant le démantèlement de janvier 2021, ce logiciel malveillant avait infecté 1,6 million d’appareils dans le monde. Emotet a permis aux cybercriminels d’installer des chevaux de Troie bancaires ou des ransomwares sur les systèmes compromis.

La résurrection de ce logiciel malveillant aurait été menée par le groupe Conti lui-même, utilisant Trickbot comme moyen de distribution, dans le but de changer de tactique pour échapper à la surveillance des activités malveillantes des forces de l’ordre.

Les chercheurs de Black Lotus Labs soulignent que l’ajout de bots n’a pas vraiment commencé pour de bon avant janvier 2022, où de nouvelles variantes ont modifié le schéma de chiffrement RSA, brouillant le trafic réseau. Ils peuvent également recueillir des informations allant au-delà de la liste des processus en cours sur les machines infectées.

Actuellement, le botnet compte près de 200 domaines de commande et de contrôle (C2), dont la plupart sont situés aux États-Unis, en Allemagne, au Brésil, en Thaïlande et en Inde. D’autre part, la plupart des bots infectés se trouvent en Asie, principalement au Japon, en Inde et en Chine.

« La croissance et la distribution des bots sont un indicateur important des progrès réalisés par Emotet dans le rétablissement de son infrastructure autrefois très étendue. Chaque bot est un point d’appui potentiel pour un réseau convoité et présente une opportunité de déployer Cobalt Strike ou d’être éventuellement promu au rang de bot C2 ».

Plus d’information:
https://blog.lumen.com/emotet-redux/

Microsoft désactive l’installateur MSIX pour éviter les abus

Microsoft a annoncé la semaine dernière qu’elle avait temporairement désactivé le gestionnaire de protocole ms-appinstaler, qui était utilisé pour diffuser des logiciels malveillants tels que Emotet, TrickBot et Bazaloader.

MSIX est un format de paquet d’installation universel, qui permet aux développeurs de distribuer leurs applications pour le système d’exploitation Windows ou d’autres plateformes. Le protocole ms-appinstaler, en particulier, est conçu pour permettre l’installation facile d’applications en cliquant sur un lien dans une page web.

L’année dernière, une vulnérabilité, CVE-2021-43890, a été découverte qui permettait d’usurper les installateurs d’applications légitimes tout en installant une application malveillante.

Alors que Microsoft a corrigé cette vulnérabilité en décembre dernier, la société a maintenant décidé de désactiver complètement le protocole ms-appinstaler pendant qu’elle travaille sur une solution complète et sécurisée au problème.

Microsoft reconnaît que cette fonctionnalité est essentielle dans de nombreuses entreprises et organisations, mais prendra le temps nécessaire avant de la réactiver. Cependant, la possibilité d’activer et de contrôler ce protocole par le biais de politiques de groupe est envisagée.

Plus d’information:
https://thehackernews.com/2022/02/microsoft-temporarily-disables-msix-app.html
https://techcommunity.microsoft.com/t5/windows-it-pro-blog/disabling-the-msix-ms-appinstaller-protocol-handler/ba-p/3119479
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-43890

Fièrement propulsé par WordPress & Thème par Anders Norén