Les cybercriminels disposent aussi de R&D et mènent des expérimentations pour peaufiner ou créer de nouvelles attaques. Un rapport de Proofpoint montre que le groupe Emotet est dans cette démarche en testant différentes techniques d’attaques. L’éditeur précise qu’il a constaté cette activité alors que le gang était en pause et ne menait pas ses campagnes habituelles de grande envergure.

Une activité d'attaque inhabituelle

Emotet cible les plateformes Windows pour distribuer des malwares de tracking. Le groupe était considéré comme l'une des menaces cybercriminelles les plus actives jusqu’à l’opération de police mondiale menée en janvier 2021 qui a perturbé son activité. Mais, après une disparition des radars pendant 10 mois, le groupe a refait surface en novembre 2021. Depuis, il a ciblé des milliers d'utilisateurs dans plusieurs régions géographiques. « Dans certains cas, le volume des messages malveillants utilisés dans les campagnes ciblant des individus a atteint plus d'un million », a déclaré Proofpoint. Cependant, l'activité détectée entre le 4 et le 19 avril 2022, et attribuée à l'acteur de la menace TA542, s'écarte considérablement des comportements d'attaque habituels d'Emotet.

Proofpoint a notamment constaté que le volume de courriels distribuant Emotet était très réduit. Les messages n'ont pas été envoyés par le module de spam Emotet. « Le corps des courriels ne contenait que des URL OneDrive et aucun autre contenu. Les URL OneDrive hébergeaient des fichiers zip contenant des fichiers Microsoft Excel Add-in (XLL). Les archives zip et les fichiers XLL utilisaient les mêmes leurres que les sujets des mails, du genre ‘Salaire_nouveau.zip’. Cette archive particulière contenait quatre copies du même fichier XLL avec des titres ‘Salaire_et_bonus-04.01.2022.xll’. Une fois exécutés, les fichiers XLL déposent et exécutent Emotet en exploitant le botnet Epoch 4 ».

Plusieurs différences détectées dans les techniques d'Emotet

Selon Proofpoint, cette activité diffère en plusieurs points des campagnes Emotet précédemment observées :

- Le faible volume de l'activité. En général, dans les campagnes d’Emotet, le volume de courriels est très élevé et ils sont distribués à de nombreux clients dans le monde entier. Certaines campagnes de ces dernières semaines avaient atteint le million de messages au total.

- L’usage d'URL OneDrive. En général, Emotet envoie des pièces jointes Microsoft Office ou des URL (hébergées sur des sites compromis) qui renvoient à des fichiers Office.

- L’usage de fichiers XLL. En général, le groupe utilise des documents Microsoft Excel ou Word contenant des macros VBA ou XL4. Les XLL correspondent à un type de fichier de bibliothèque de liens dynamiques (DLL) pour Excel et sont conçus pour étendre les fonctionnalités de l'application.

« Les analystes de Proofpoint pensent avec beaucoup de certitude que l'acteur de la menace à l’origine de cette activité est le groupe TA542, car depuis 2014, ce dernier a étroitement contrôlé le malware Emotet et ne l'a pas loué à d'autres acteurs », a déclaré le fournisseur.

Les entreprises doivent adapter leurs défenses

Sherrod DeGrippo, vice-président de Proofpoint en charge de la recherche et de la détection des menaces, a déclaré que « après des mois d'activité régulière, Emotet change de méthode ». Il pense que l'acteur de la menace teste de nouveaux comportements à petite échelle avant de les appliquer à plus grande échelle, ou de les distribuer via d’autres techniques, parallèlement à ses campagnes existantes à fort volume. « Les entreprises doivent prendre en compte ces méthodes testées et s'assurer qu'elles mettent en place des défenses en conséquence », a-t-il conseillé. Proofpoint pointe également l'intérêt du groupe TA542 pour des campagnes qui ne reposent pas sur des documents contenant des macros. En effet, Microsoft a fortement compliqué l’usage des macros comme vecteur d'infection par les acteurs de la menace. En février, Microsoft a annoncé qu'il bloquerait par défaut, à partir du mois d’avril, les macros Visual Basic for Application (VBA).