Le malware, qui a été qualifié de « polymorphe », est une variante du troyen bancaire Emotet. Les hackers semblent avoir trouvé un moyen de le rendre indétectable alors même qu'il est inscrit sur la liste des menaces des antivirus.
Emotet caché sous une nouvelle forme à chaque fois ?
Selon les chercheurs de Bromium, la nouvelle technique d'attaque par le biais du cheval de Troie bancaire Emotet est complexe et sournoise : les pirates semblent avoir trouvé la technique pour le rendre indétectable. L'idée est simple, pourtant : à chaque attaque, Emotet est retravaillé sous une nouvelle forme et placé dans de nouveaux documents.Les antivirus fonctionnent en effet par détection automatique : dès lors qu'un virus ou un malware est identifié, sa forme est ajoutée à la liste des menaces et c'est cette forme que l'antivirus détecte lorsqu'il bloque l'attaque. Ce peut être un script, un document, une image, un fichier exécutable... Mais dès lors que le malware prend une nouvelle forme, l'antivirus a du mal à le détecter.
Emotet : autant de versions que de cibles ?
La découverte de la firme Bromium est de taille car elle prouve que les hackers sont prêts à de nouveaux efforts pour contourner les sécurités. Le malware Emotet bénéficierait d'un travail colossal : chaque victime est ciblée avec une version nouvelle du malware placé dans de nouveaux fichiers exécutables.Ce travail en amont rend caduques la majorité des sécurités puisque l'antivirus ne peut pas identifier le malware. Selon Bromium, Emotet serait ainsi en mesure de contourner près de 75 % des antivirus du marché.