Malware modulaire Emotet – Rapport NETSCOUT
novembre 2019 par NETSCOUT
NETSCOUT vient de publier les résultats d’une récente analyse menée sur le cheval de Troie bancaire transformé en téléchargeur, Emotet, qui continue de dominer la scène malgré un récent silence radio.
Emotet est un logiciel malveillant modulaire, signalé pour la première fois en 2014 comme un cheval de Troie bancaire, qui a rapidement évolué vers sa forme modulaire actuelle, capable de tout supporter, du spam au vol d’emails. En mai 2019, l’activité d’Emotet a commencé à décliner, une pause qui a duré environ quatre mois avant qu’elle ne reprenne le mois dernier comme si elle ne s’était jamais arrêtée, avec des campagnes évolutives de spams et de nouveaux mécanismes de livraison. Son évolution a apporté de nombreux changements et innovations qui ont été explorés dans ce rapport dont les principales constatations sont les suivantes :
– Emotet partage les techniques d’obscurcissement avec Trickbot, renforçant ainsi leur relation symbiotique ;
– Les auteurs d’Emotet utilisent une nouvelle liste de mots pour générer des noms de processus et garder la trace des modules installés ;
– Une nouvelle fonction d’exportation apparaît maintenant sur les binaires Emotet, ce qui est inhabituel car ils sont généralement compatibles avec les fichiers DLL plutôt qu’avec un exécutable.