Bromium a ainsi annoncé avoir la découverte d'un malware dit "polymorphe" qui se base sur le trojan bancaire Emotet. Il s'agit d'une version d'Emotet qui se voudrait indétectable par la majorité des antivirus, même si ces derniers l'ont inscrit dans leurs bases de menaces.
Le malware permet de mettre en place une attaque assez complexe. Pour le rendre indétectable, Emotet est retravaillé et présenté sous une nouvelle forme à chaque attaque. Les protocoles de détection automatique des antivirus ne peuvent ainsi qu'agir de façon trop tardive en inscrivant le malware dans la liste des menaces une fois que celui-ci a été détecté. En changeant de forme à chaque attaque, Emotet s'inscrit également dans des fichiers différents : document, script, image, exécutable... ce qui rend les choses encore plus complexes pour les antivirus.
Le travail derrière Emotet est considérable, et, fort heureusement, son efficacité redoutable n'est possible que dans le cadre d'attaques bien ciblées et non des attaques de masse. Si le malware est recompilé entre chaque attaque, les cibles font l'objet d'un choix bien spécifique... À moins que les cybercriminels ne soient en mesure d'automatiser le processus pour lancer des campagnes de piratage à plus large échelle. Actuellement et selon Bromium, Emotet serait capable de contourner les 3/4 des antivirus disponibles sur le marché.
C'est justement pour lutter contre ces menaces inconnues et qui se multiplient que les sociétés de sécurité misent désormais sur l'intelligence artificielle au sein de leurs suites de sécurité. L'analyse comportementale des applications permet également de mettre en lumière toute activité suspecte et de contrer ces malwares nouvelle génération ou toute forme de menaces encore non répertoriée dans les bases antivirales traditionnelles.
