Selon un nouveau rapport, le botnet/malware Emotet a commencé à cibler les données de carte de crédit stockées dans les profils d'utilisateurs de Google Chrome. Le malware pourrait accéder aux données, notamment les noms, les numéros de carte et le mois/année d’expiration des utilisateurs sans méfiance.
Proofpoint note que le nouveau module Emotet cible uniquement le navigateur Google Chrome
Suite au vol d'informations de carte de crédit, Emotet envoie apparemment les données aux serveurs de commande et de contrôle (C2). Ces serveurs sont distincts de ceux utilisés pour voler les informations de carte de crédit. Ce changement intervient après le passage aux modules 64 bits en avril, en plus de l'augmentation de l'activité des botnets.
La semaine suivante, Emotet a commencé à exploiter les fichiers de raccourci Windows (.LNK) pour les commandes PowerShell afin d'attaquer les appareils. Il s'agit d'un changement par rapport aux macros Microsoft Office, qui sont désactivées depuis début avril de cette année, comme le souligne BleepingComputer.
« À notre grande surprise, il s’agissait d’un voleur de carte bancaire dont la seule cible était le navigateur Chrome. “Une fois les détails de la carte collectés, ils ont été exfiltrés vers des serveurs C2 autres que le chargeur de module”, a déclaré l'équipe Proofpoint Threat Insights dans Twitter.
Emotet est apparu pour la première fois en tant que cheval de Troie bancaire en 2014. Il est finalement devenu un botnet que le groupe de menace TA542, également connu sous le nom de Mummy Spider, utilise pour fournir des charges utiles de deuxième étape. Dans ce cas, les opérateurs peuvent voler les données des utilisateurs, rechercher le réseau piraté ou même basculer vers d'autres appareils vulnérables. Dans le passé, Emotet était également responsable d’attaques d’ordinateurs à l’aide de charges utiles de chevaux de Troie malveillants Qbot et Trickbot. Les attaquants utilisent ensuite les charges utiles pour installer davantage de logiciels malveillants.
Les autorités ont néanmoins remporté quelques victoires. Des agences européennes telles qu'Europol et Eurojust se sont associées début 2021 pour démanteler l'infrastructure d'Emotet. Cela s'inscrit dans le cadre d'un effort conjoint des forces de l'ordre des États-Unis, du Royaume-Uni, des Pays-Bas, de l'Allemagne, de la France, de la Lituanie, du Canada et de l'Ukraine. Les chercheurs ont finalement réussi à prendre le contrôle des serveurs d'Emotet, ce qui a entravé le fonctionnement du botnet.
Selon la société de recherche ESET, l’activité d’Emotet a été multipliée par 100 depuis l’année dernière.
Emotet est ensuite revenu en novembre 2021 en tirant parti de l'infrastructure existante de TrickBot. Selon le cabinet de recherche slovaque ESET, Emotet a connu davantage d'activité depuis le début de 2022. La société a déclaré que l'activité d'Emotet a augmenté « 100 fois par rapport au troisième trimestre 2021 ».
