Emotet se propage sous la forme d’un paquet d’installation Adobe PDF



Emotet se propage sous la forme d’un paquet d’installation Adobe PDF


Le malware Emote se propage actuellement sous la forme d’un package d’installation Windows permettant d’installer la liseuse de PDF Adobe.

Emotet est un botnet/malware très connu, car il est très répandu, et en début d’année 2021, on apprenait qu’Europol avait pris le contrôle de l’infrastructure d’Emotet et que la police avait pu démanteler le réseau. Sauf qu’il y a deux semaines environ, Emotet est de nouveau entré en activité, dans une nouvelle version !


Pour être distribué, il s’appuie principalement sur deux méthodes : les e-mails d’hameçonnage et les pièces jointes malveillantes. Dès lors qu’il est en place sur un ordinateur, il va récupérer des adresses e-mails dans la boite aux lettres de la victime pour diffuser des e-mails malveillants et chercher à se propager toujours un peu plus. Quant à l’ordinateur déjà compromis, il y a de fortes chances pour qu’un ransomware soit exécuté en guise de charge utile. Cela peut-être TrickBot ou Qbot.


L’e-mail envoyé par Emotet n’est pas le premier d’une conversation. Au contraire, le malware reprend l’une de vos conversations existantes avec l’un de vos contacts et essaie de la poursuivre, en incitant le destinataire à cliquer sur un lien. En cliquant sur le lien, on se retrouve sur une fausse page Google Drive avec un bouton pour prévisualiser le document.




En vérité, le lien qui se cache sur ce document est particulier puisqu’il s’agit d’un lien « ms-appinstaller » où l’objectif est de charger un package d’installation hébergé sur Microsoft Azure. Par exemple, le lien peut-être « ms-appinstaller:?source=https://xxx.z13.web.core.windows.net/abcdefghi.appinstaller« .




Si l’on cherche à installer le paquet, Windows demande une confirmation. Lorsque l’on regarde les informations, tout porte à croire que le paquet est sain et officiel, notamment parce que l’éditeur est « Adobe Inc » et qu’il y a l’icône de l’application. Malheureusement, ce n’est pas Adobe PDF qui est en cours d’installation, mais Emotet. En cas de validation, le malware sera téléchargé sur votre poste et une DLL sera stockée dans le dossier « temp » de votre profil utilisateur. En complément, elle sera stockée avec un nom aléatoire dans le répertoire AppData/Local du profil.



Une clé de Registre est ajoutée (dans « HKCU\Software\Microsoft\Windows\CurrentVersion\Run« ) de manière à exécuter automatiquement la DLL lorsque l’utilisateur ouvre sa session.

Emotet pourra ensuite agir sur votre machine, avec de fortes chances pour que cela se termine par l’exécution d’un ransomware…



Pour plus d’information : https://www.it-connect.fr/emotet-se-propage-sous-la-forme-dun-paquet-dinstallation-adobe-pdf/

Nous sommes présents sur les réseaux : LinkedIn, Twitter, Facebook, Instagram

Categories:

Company

Consulting

Formation

Support

Blog

Solutions

Société

À propos

Carrières

Partenariats

Partenaire

Symantec

Fortinet

Rapid7

BeyondTrust


UNIDEES®

Conditions d’utilisation

Déclaration de confidentialité

Déclaration de sécurité