Les chercheurs en cybersécurité de Proofpoint ont publié de nouvelles conclusions révélant la résurgence et l’évolution des tactiques utilisées pour distribuer le célèbre botnet EMOTET. Ces recherches indiquent que le groupe de cybercriminels (TA542) semble tester une nouvelle stratégie, d’abord à petite échelle, avant de déployer des campagnes de plus grande envergure.

Dans son activité récente (avril 2022), le groupe TA542 a utilisé un certain nombre de tactiques inhabituelles, du fait de :

– La nature peu volumineuse de l’activité alors que typiquement, Emotet distribue des campagnes de courriels de grand volume, à de nombreuses cibles, dans le monde entier.
– L’utilisation d’URL OneDrive alors qu’en général, Emotet envoie des pièces jointes Microsoft Office ou des URL (hébergées sur des sites compromis) qui renvoient à des fichiers Office.
– L’utilisation de fichiers XLL – habituellement, Emotet utilise des documents Microsoft Excel ou Word contenant des macros VBA ou XL4.

Il est intéressant de noter que TA542 s’intéresse aux nouvelles techniques qui ne reposent pas sur des documents contenant des macros, car Microsoft rend l’utilisation des macros comme vecteur d’infection de plus en plus difficile pour les acteurs de la menace.

Sherrod DeGrippo, vice-président du département Threat Research and Detection de chez Proofpoint déclare : « Après des mois d’activité régulière, Emotet change de cap. Il est probable que l’acteur de la menace teste de nouveaux comportements à petite échelle avant de les transmettre aux victimes à plus grande échelle, ou de les distribuer via de nouveaux TTP parallèlement à ses campagnes existantes à fort volume. Les organisations doivent être conscientes de ces nouvelles techniques et s’assurer qu’elles mettent en œuvre des défenses en conséquence. »