Le tristement célèbre logiciel malveillant Emotet a encore changé de tactique, dans une campagne de courriels se propageant par l’intermédiaire de fichiers Excel malveillants, ont découvert des chercheurs.
« La nouvelle chaîne d’attaque d’Emotet révèle de multiples étapes avec différents types de fichiers et des scripts obscurcis avant d’arriver à la charge utile finale d’Emotet », ont écrit les chercheurs Saqib Khanzada, Tyler Halfpop, Micah Yates et Brad Duncan de l’unité 42.
Le nouveau vecteur d’attaque – découvert le 21 décembre et toujours actif – transmet un fichier Excel comprenant une macro Excel 4.0 obfusquée par le biais de courriers électroniques conçus par des tiers.
La nouvelle méthode d’infection d’Emotet utilisant des macros Excel comporte également plusieurs variantes, selon l’unité 42.
« Dans d’autres cas, Emotet utilise une feuille de calcul Excel directement jointe à l’e-mail.
« Le fichier encrypted.ZIP contient un seul document Excel avec des macros Excel 4.0 », écrivent les chercheurs. « Ces macros sont une ancienne fonctionnalité d’Excel qui est souvent utilisée de manière abusive par des acteurs malveillants. La victime doit activer les macros sur un hôte Windows vulnérable avant que le contenu malveillant ne soit activé. »