Le botnet Emotet est revenu à la vie après une période de dormance de 4 mois au cours de l’été. Les premières campagnes, qui impliquaient des centaines de milliers de messages, utilisaient des leurres tels que de fausses factures, des avis de paiement et des relevés pour inciter les destinataires à ouvrir un document Word malveillant, à activer le contenu et à lancer par inadvertance une série d’actions résultant au téléchargement d’Emotet. Emotet est l’une des variantes de malwares les plus dangereuses actuellement distribuées via des messages électroniques.
Cela ne fait que quelques jours que ces menaces ont été détectées. Pourtant, une nouvelle campagne a été détectée, notamment le Malware Spam (MalSpam), un terme utilisé pour désigner les malwares qui sont envoyés par e-mail, qui livre Emotet. Cette fois-ci, le leurre s’est présenté sous la forme d’une copie gratuite du livre d’Edward Snowden, Permanent Record. Le livre est un compte rendu de la vie d’Edward Snowden, notamment concernant les actions de dénonciation qu’il a menées en 2013.
La campagne comprend des versions en anglais, en italien, en espagnol et en allemand du livre. Elle prétend offrir une copie scannée et gratuite du livre de l’ancien employé de la CIA. La version anglaise est distribuée par e-mail, selon les agresseurs, parce qu’il est « temps d’organiser des lectures collectives du livre Snowden partout ». L’e-mail comprend une copie scannée du livre en pièce jointe et incite le destinataire de l’acheter, de le lire, de le partager et d’en discuter. La copie s’appelle Scan.doc.
L’email informe l’utilisateur que Word n’a pas été activé. Par contre, celui-ci peut continuer à utiliser Word pour visualiser le contenu du document. À ce stade, il suffit d’un simple clic pour installer Emotet. Une fois installé, le botnet va télécharger d’autres variantes de malwares, dont le TrickBot Trojan. Il est également utilisé pour distribuer des charges utiles de ransomwares.
Bien que les leurres des campagnes Emotet changent régulièrement, ils ont tous utilisé des scripts malveillants dans des documents Word qui téléchargent Emotet. Les e-mails peuvent être envoyés par des personnes inconnues. Des adresses électroniques peuvent également être usurpées pour donner l’impression qu’ils proviennent d’une personne connue ou d’un collègue de travail.
Les leurres sont convaincants et sont susceptibles de tromper les utilisateurs finaux. Ces derniers sont donc susceptibles d’ouvrir les pièces jointes et d’activer le contenu du message électronique. Pour les entreprises, cela peut entraîner une infection malveillante coûteuse, le vol de justificatifs d’identité, des virements bancaires frauduleux et des attaques de ransomwares.
Les entreprises peuvent réduire ces risques en s’assurant que leurs employés n’ouvrent jamais les pièces jointes de e-mails non sollicités et provenant d’expéditeurs inconnus. Ils doivent aussi vérifier l’authenticité de toutes pièces jointe par téléphone avant de prendre toute mesure. Par ailleurs, les employés ne devraient jamais activer le contenu d’un document envoyé par e-mail.
Bien qu’une formation de sensibilisation à la sécurité des utilisateurs finaux soit essentielle, des solutions antimalware avancées sont également nécessaires pour empêcher que ces messages n’atteignent les boîtes de réception des utilisateurs.
SpamTitan inclut l’authentification DMARC pour bloquer les attaques de phishing par usurpation d’identité. Il intègre aussi un sandbox alimenté par Bitdefender où les pièces jointes suspectes peuvent être exécutées en toute sécurité et étudiées pour détecter les menaces cybercriminelles.
Ajoutez à cela un large éventail de systèmes de contrôles de contenu, y compris l’analyse bayésienne et la liste noire, et les e-mails malveillants seront bloqués et empêchés d’être envoyés aux utilisateurs finaux.