Le tristement célèbre malware Emotet a encore changé de tactique, dans une campagne d’e-mails se propageant par le biais de fichiers Excel malveillants, ont découvert des chercheurs.
« La nouvelle chaîne d’attaque d’Emotet révèle de multiples étapes avec différents types de fichiers et un script obscurci avant d’arriver à la charge utile finale d’Emotet », ont écrit les chercheurs d’Unit 42 Saqib Khanzada, Tyler Halfpop, Micah Yates et Brad Duncan.
Le nouveau vecteur d’attaque – découvert le 21 décembre et toujours actif – transmet un fichier Excel comprenant une macro Excel 4.0 obfusquée par le biais d’e-mails d’ingénierie sociale.
La nouvelle méthode d’infection d’Emotet utilisant des macros Excel présente également plusieurs variantes, selon l’Unité 42.
« Dans d’autres cas, Emotet utilise une feuille de calcul Excel directement jointe à l’e-mail ».
« Le fichier .ZIP crypté contient un seul document Excel avec des macros Excel 4.0 », écrivent les chercheurs. « Ces macros sont une ancienne fonctionnalité d’Excel dont les acteurs malveillants abusent fréquemment. La victime doit activer les macros sur un hôte Windows vulnérable avant que le contenu malveillant ne soit activé. »