Des attaquants envoient des e-mails de phishing de l'IRS pour installer le malware Emotett

Dans une découverte, des chercheurs en sécurité de Malwarebytes et de Palo Alto Networks unit 42 ont trouvé le malware Emotet ciblant les utilisateurs avec des e-mails de phishing contenant de fausses pièces jointes de formulaire fiscal W-9.

L’Emotet est une infection de malware infâme qui est distribuée par le biais d’e-mails de phishing qui contenaient auparavant des documents Microsoft Word et Microsoft Excel avec des macros malveillantes qui installent le malware.

Cependant, comme Microsoft bloque désormais les macros par défaut dans les documents Microsoft Word téléchargés, le malware Emotet s’est déplacé vers Microsoft OneNote avec des scripts intégrés pour installer le malware Emolett.

Les attaquants qui opèrent Emotet utilisent généralement des campagnes de phishing thématiques pour coïncider avec les vacances et les déclarations fiscales annuelles, c’est-à-dire la saison fiscale américaine. En ce qui concerne la campagne de phishing trouvée par Malwarebytes, les attaquants envoient des e-mails avec le sujet “Formulaire fiscal TRS W-9” tout en se faisant passer pour une autorité du Service des revenus internes.

Lire : Malware Magic commun et Power Magic utilisé dans des attaques de surveillance avancées

Ces e-mails de phishing contiennent une archive ZIP nommée W-9 form.zip qui contient un document Word malveillant. Le document a été gonflé à 500 Mo pour rendre difficile la détection par les logiciels de sécurité s’il est malveillant.

Une fois que l’Emotet est installé, le malware commence à voler les e-mails de la victime pour ses futures attaques en chaîne de replay, puis envoie des e-mails de spam et, à la fin, installe d’autres malwares qui donnent un accès initial à d’autres acteurs de la menace également.

Cela dit, puisque Microsoft bloque désormais les macros par défaut, les utilisateurs sont moins susceptibles de passer par la douleur d’activer les macros et de se faire infecter par des documents Word.

Maintenant, dans l’activité de phishing trouvée par l’unité 42 de Palo Alto, les attaquants contournent ces restrictions en utilisant un document Microsoft OneNote avec des fichiers VBScript activés qui installent le malware.

Après cela, l’activité de phishing utilise l’e-mail de chaîne de replay, qui prétend être des partenaires commerciaux envoyant aux victimes le formulaire W-9.

Le document OneNote joint fera croire qu’il est protégé et demandera à l’utilisateur de double-cliquer pour afficher correctement le document, bien que ce qui soit caché à l’intérieur soit le bouton Afficher qui contient des VBScripts qui seront lancés à la place.

Lors de l’ouverture du fichier VBScript intégré, Microsoft OneNote avertit l’utilisateur que le fichier peut être malveillant, mais malheureusement, comme nous le savons, beaucoup d’utilisateurs ignorent simplement ces avertissements et permettent aux fichiers de s’exécuter. Une fois les fichiers exécutés, le VBScript téléchargera Emotet DLL et l’exécutera en utilisant regsvr32.exe.

Après cela, le malware fonctionne discrètement en arrière-plan, volant des e-mails et des contacts et attendant ensuite qu’un autre payload soit installé sur l’appareil.

Donc, si vous recevez un e-mail prétendant avoir le formulaire W-9 ou d’autres formulaires fiscaux, scannez simplement le document d’abord avec un logiciel antivirus.

De plus, ces formulaires sont envoyés en tant que pièces jointes PDF, et non en tant que pièces jointes Word, donc évitez de les ouvrir et d’activer les macros et supprimez plutôt les e-mails.

Lire : La mise à jour de cybersécurité de Fortinet échoue ; une vulnérabilité zero-day exploitée par des acteurs de la menace