C’est un coup de maître rarissime que les chercheurs en sécurité de Binary Defense ont réalisé cette année. En février dernier, ils ont analysé une nouvelle version d’Emotet, l’un des chevaux de Troie les plus diffusés du moment. Ils ont découvert un nouveau mode d’installation et de persistance qui s’appuyait, entre autres, sur la création d’une clé de registre Windows pour sauvegarder une clé de chiffrement. En y regardant de plus près, ils ont remarqué que le processus d’installation était vulnérable à un dépassement de mémoire tampon.
Ni une ni deux, ils ont décidé alors de créer un script baptisé « EmoCrash » qui génère dans Windows une clé de registre similaire, mais avec une valeur savamment choisie. En cas d’infection, Emotet va forcément tomber sur cette clé de registre, lire son contenu et… totalement planter. L’installation est alors interrompue et le système reste sain et sauf.
Dès le 12 février, les chercheurs de Binary Defense ont diffusé en catimini leur script aux centres d’alerte et de réaction aux attaques informatiques dans le monde entier, ce qui a permis à bon nombre d’entreprises d’être « vaccinées » contre le malware. L’immunité, malheureusement, n’a pas duré très longtemps. Le 6 août dernier, les auteurs d’Emotet ont modifié leur code, supprimant notamment l’usage de cette fameuse clé de registre. C’est dommage, mais c’est toujours ça de gagné.
Source : Binary Defense
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
