Une nouvelle campagne d’hameçonnage répand un cheval de Troie bancaire déguisé en carte cadeau sous format Word

Une nouvelle compagne d’hameçonnage est menée par email avec comme objet « Merry Christmas » à l’occasion des fêtes de fin d’année. Le mail contient un lien malveillant téléchargeant un malware déguisé en fichier Word contenant des macros malveillantes.

Scénario d’infection :

Un mail ayant comme objet : « Merry Christmas » est envoyé à la victime. La personne malveillante souhaite à la victime de joyeuses fêtes et l’invite à cliquer sur un lien. Ce dernier renvoie vers une page vide et télécharge un fichier Word « Gift Card.doc ». Une fois le document téléchargé, la victime est amenée à activer les macros. Un cheval de Troie « Zeus Panda » est ensuite extrait avec Emotet puis installé sur le système.

Zeus Panda est un malware conçu pour voler les données bancaires de la victime. Il est difficile à repérer sur un système infecté puisqu’il se place en coupure entre la victime et son navigateur. En plus de capturer les données utilisateur, ce cheval de Troie manipule les paramètres de sécurité sur le navigateur pouvant le détecter pour dissimuler sa présence. Zeus Panda collecte des données en continu sauf si on lui spécifie de faire autre chose. Si le serveur de commande et de contrôle est démantelé, il continue de stocker les données sur le système infecté jusqu’à ce qu’il ait la possibilité de les uploader sur un autre serveur de contrôle.

Le logiciel malveillant Emotet recherche des utilisateurs et des noms d'hôtes liés aux sandbox tels que "TEQUILABOOMBOOM", "Wilbert", "admin", "KLONE_X64-PC", BEA-CHI, etc., et s'il en découvre un, il empêche l’exécution du programme pour éviter toute détection et analyse.

Il recherche également deux groupes de fichiers associés aux sandbox sur le système:

  • Fichiers sous le dossier "C: \ a"
    • C: \ a \ foobar.bmp
    • C: \ a \ foobar.gif
    • C: \ a \ foobar.doc
  • Fichiers sous "C: \ 123" et "C: \"
    • C: \ email.doc
    • C: \ email.htm
    • C: \ 123 \ email.doc
    • C: \ 123 \ email.docx

Si Emotet trouve les fichiers cités ci-dessus, il arrêtera son exécution pour éviter d'être analysé dans la sandbox correspondante. La création d’une des combinaisons de fichier précédente est suffisante pour garantir que les dernières variantes Emotet ne s’exécutent pas sur le système.