| Source de l’image : Toptal |
Le célèbre malware Emotet s’est tourné vers le déploiement d’un nouveau module conçu pour siphonner les informations de carte de crédit stockées dans le navigateur Web Chrome.
Le voleur de cartes de crédit, qui cible exclusivement Chrome, a la capacité d’exfiltrer les informations collectées vers différents serveurs de commande et de contrôle à distance (C2), selon la société de sécurité d’entreprise Point de preuvequi a observé la composante le 6 juin.
Le développement intervient au milieu d’un pic d’activité Emotet depuis qu’il a été ressuscité à la fin de l’année dernière après une interruption de 10 mois à la suite d’une opération d’application de la loi qui a détruit son infrastructure d’attaque en janvier 2021.
Emotet, attribué à un acteur menaçant connu sous le nom de TA542 (alias Mummy Spider ou Gold Crestwood), est un cheval de Troie avancé, auto-propagatif et modulaire qui est diffusé via des campagnes par e-mail et est utilisé comme distributeur pour d’autres charges utiles telles que les ransomwares.
En avril 2022, Emotet est toujours le malware le plus populaire avec un impact global de 6 % des organisations dans le monde, suivi de Formbook et AgentTeslapar Point de contrôlele logiciel malveillant testant de nouvelles méthodes de livraison à l’aide d’URL OneDrive et PowerShell dans les pièces jointes .LNK pour contourner les restrictions macro de Microsoft.
La croissance régulière dans les menaces liées à Emotet est encore étayée par le fait que le nombre d’e-mails de phishing, détournant souvent une correspondance déjà existante, est passé de 3 000 en février 2022 à environ 30 000 en mars ciblant des organisations dans divers pays dans le cadre d’une campagne de spam à grande échelle.
Déclarant que l’activité d’Emotet est “passée à la vitesse supérieure” en mars et avril 2022, ESET a déclaré que les détections avaient été multipliées par 100, enregistrant une croissance de plus de 11 000 % au cours des quatre premiers mois de l’année par rapport aux trois précédents. période d’un mois de septembre à décembre 2021.
Certaines des cibles communes depuis la résurrection du botnet sont le Japon, l’Italie et le Mexique, a noté la société slovaque de cybersécurité, ajoutant que la plus grande vague a été enregistrée le 16 mars 2022.
“La taille des dernières campagnes LNK et XLL d’Emotet était nettement inférieure à celles distribuées via des fichiers DOC compromis vus en mars”, Dušan Lacika, ingénieur principal en détection chez Dušan Lacika, a dit.
“Cela suggère que les opérateurs n’utilisent qu’une fraction du potentiel du botnet tout en testant de nouveaux vecteurs de distribution qui pourraient remplacer les macros VBA désormais désactivées par défaut.”
Les découvertes surviennent également alors que des chercheurs de CyberArk ont démontré un nouveau technique pour extraire les informations d’identification en clair directement de la mémoire dans les navigateurs Web basés sur Chromium.
“Les données d’identification sont stockées dans la mémoire de Chrome au format texte clair”, Zeev Ben Porat de CyberArk a dit. “En plus des données saisies dynamiquement lors de la connexion à des applications Web spécifiques, un attaquant peut amener le navigateur à charger en mémoire tous les mots de passe stockés dans le gestionnaire de mots de passe.”
Cela inclut également les informations relatives aux cookies telles que les cookies de session, permettant potentiellement à un attaquant d’extraire les informations et de les utiliser pour détourner les comptes des utilisateurs même lorsqu’ils sont protégés par une authentification multifacteur.