Suite au démantèlement du malware Emotet par l'agence Europol, le malware Emotet va s'auto-détruire des machines infectées, et cela à l'échelle mondiale.

En janvier dernier, l'agence Europol annonçait le démantèlement du malware Emotet : ce botnet était à l'origine de nombreuses attaques depuis 6 ans. Les forces de l'ordre de huit pays s'étaient mobilisées pour venir à bout d'Emotet ! La France a participé à cette action, ainsi que les États-Unis, l'Allemagne, le Canada, le Royaume-Uni, la Lituanie, les Pays-Bas et l'Ukraine. Grâce à cette intervention, les autorités avaient pris le contrôle de l'infrastructure d'Emotet.

Désormais, il va s'auto-détruire des machines sur lesquelles il est en place grâce à un module de désinstallation déployé en janvier dernier par les autorités. Concrètement, toutes les machines infectées ont une version modifiée du fichier EmotetLoader.dll et l'objectif est que le malware se désinstalle automatiquement à partir du 25 avril 2021.

Deux chercheurs en sécurité de chez Malwarebytes, Jérôme Segura et Hasherezade, ont pu analyser le module de désinstallation déployé par les autorités. Il s'avère qu'il va supprimer plusieurs éléments liés à Emotet directement : les services Windows associés et les clés de Registre, puis le processus se termine.

La Bundeskriminalamt, c'est-à-dire l'Office fédéral de police criminelle d'Allemagne, est à l'origine de la création et du déploiement de cet outil de désinstallation pour Emotet. Pour le déploiement, les autorités se sont appuyées sur l'infrastructure de serveurs Command & Control utilisée par Emotet. Ensuite, les communications se sont faites vers une autre infrastructure montée par les autorités elles-mêmes dans le but de centraliser la collecte des preuves sur une infrastructure indépendante.

Il est important de confirmer que ce module déployé sur les machines infectées n'empêche pas l'installation de malwares additionnels et indépendants d'Emotet. En tout cas, il permet à la machine d'être libérée du botnet Emotet : la machine ne pourra plus être contrôlée par cet intermédiaire.

Source

The post Le malware Emotet va s’auto-détruire des machines infectées first appeared on IT-Connect.