ESET a détecté une autre campagne Emotet d’envergure, probablement liée à l'augmentation des achats en ligne et de la correspondance par courrier électronique autour du vendredi fou. Par rapport aux attaques précédentes, les opérateurs ont légèrement modifié leur modus operandi. Emotet est toujours distribué par le biais de pourriels (spam) contenant des pièces jointes contenant des macros malveillantes ou des liens vers ces fichiers. Néanmoins cette fois, probablement en lien avec le Vendredi fou (ou Black Friday), les pièces jointes et les liens ont servi de fichiers XML avec l'extension.doc au lieu des fichiers DOC et PDF précédemment observés.
En ce qui concerne les charges utiles secondaires, Emotet distribue actuellement diverses familles de logiciels malveillants bancaires, dont Ursnif, TrickBot et le plus fréquemment IcedId. Ce dernier télécharge également une autre charge utile, Azorult. Ce logiciel malveillant, qu’ESET détecte sous le nom de Win32/PSW.Delf.OSF, est connu pour sa capacité à voler les mots de passe, les détails des cartes de crédit et l'accès aux portefeuilles de cryptomonnaies. TrickBot, d'autre part, a augmenté ses ambitions en ajoutant des banques britanniques et allemandes à la liste de ses cibles. Ceci correspond aux objets et contenus des messages indésirables décrits dans notre précédent article sur Emotet
Si l'on examine la répartition géographique, les pays d'Amérique latine (LATAM) semblent être parmi les plus touchés, le Mexique, l'Équateur et l'Argentine en tête de liste (avec des centaines de milliers de détections). Les États-Unis figurent parmi les cinq premiers pays ciblés, alors que le Royaume-Uni et l'Afrique du Sud se sont également classés parmi les dix premiers.
Indicateurs de compromission (IoCs)
Charges utiles d'Emotet
| 02b614654f27b67aa3efcf94dcad3875696315ab | TrickBot |
|---|---|
| cda88d48c26afd383a996fe2c0ef87514389c189 | IcedId |
| 0977692f1accd541dd7c23eb76f5272d4321d868 | IcedId |
| 3b000e5e6de4d91443563792d69caac95b1038f0 | TrickBot |
| 086bc2718521e6e4aead498b57d20d3b2ec812e9 | Ursnif |
| 202604e7dc6c29ae75ad9f707ebbc8bf5367a631 | TrickBot |
| 844e6a4c31ae473702781603d8cdd5f9b3aa63c5 | IcedId |
| 6481172f509f80ee059b7dc20a2bf995b38aafd2 | TrickBot |
| 9e8972dd0130481e1e42504c7fdda1ffa353e473 | IcedId |
| db82d173e5afe207eeebacb65bd76cdbb67b5955 | TrickBot |
| 350e6b2f5728a17578923ab5a7640e0b57101447 | IcedId |
| 638d2c5b3331cdc2267d1036a9ff8e2efd08b316 | IcedId |
| 3c3624bfd75285c0d69f4867cc2adc5fb538888f | IcedId |
| f75e600d29189065208d116602a2a6fccebf1927 | IcedId |
| e38d371e17eeb34b6f94d05a208d0eb8a3b88f37 | IcedId |
| 765c272f914e85332d6e6a16e62645764f417379 | TrickBot |
| ea24d6f25077f8a82c5a09e0b22040293b8a50d6 | IcedId |
| d5d1c5c1af7c4e0346367cc1fdef0e788f25f1a6 | IcedId |
PSW.Delf.OSF – AZORult
| 3e435f2d58616e28972ad2c422f54e27680fb452 | Win32/GenKryptik.CRSJ trojan |
|---|---|
| f17a455dc012027486ad39c134984cadbe7e31ef | Win32/Kryptik.GMUX trojan |
| 00169e624343cfda397d7a6df77b3e776b54e5ec | Win32/Kryptik.GNEF |
