Après un été tranquille, le botnet Emotet est de retour. Les acteurs de la menace derrière Emotet envoient des centaines de milliers de spams malveillants qui diffusent le cheval de Troie Emotet via des documents Word.
Emotet est apparu pour la première fois en 2014. Initialement, ce botnet était considéré comme un cheval de Troie bancaire utilisé pour obtenir des informations d’identification sur les comptes bancaires en ligne. Les justificatifs d’identité volés sont utilisés pour effectuer des virements télégraphiques frauduleux et pour vider les comptes bancaires des entreprises. Au fil des ans, le cheval de Troie a considérablement évolué. De nouveaux modules ont été ajoutés pour donner au malware une multitude de fonctionnalités. Emotet est également polymorphe, ce qui signifie qu’il peut muter à chaque fois qu’il est téléchargé pour éviter d’être détecté par les solutions antimalware basées sur des signatures. Jusqu’au début de 2019, plus de 750 variantes d’Emotet ont été détectées.
La dernière version d’Emotet est capable de voler les informations bancaires et d’autres types de données. Il est également capable de télécharger des malwares, et c’est pour cela que les chercheurs en matière de sécurité l’appellent « malware à triple menace », étant donné qu’il a été utilisé récemment pour télécharger les ransomwares TrickBot, Trojan et Ryuk. Ces trois malwares et l’ampleur de la menace font d’Emotet l’un des vecteurs d’attaques cybercriminelles les plus dangereuses auxquelles doivent faire face les entreprises. C’est sans doute le botnet le plus destructeur jamais vu.
L’été dernier, l’activité d’Emotet était si intense et la menace si grave que le ministère de la Sécurité intérieure américain a lancé une alerte à destination de toutes les entreprises en juillet 2018 pour les prévenir de la menace.
Cette mise en garde a été reprise par le National Cyber Security Center du Royaume-Uni, qui a publié sa propre mise en garde contre ce malware en septembre 2018. L’activité est restée élevée pendant une bonne partie de l’année 2019, mais s’est soudainement arrêtée au début du mois de juin lorsque l’activité du serveur de commandement et de contrôle est tombée à presque rien.
L’interruption de l’activité n’a été que brève. Les chercheurs de Cofense Labs ont découvert que ses serveurs de commande et de contrôle avaient été réactivés fin août et qu’une campagne massive de spamming avait débuté le 16 septembre en Allemagne. La campagne était initialement axée sur les entreprises aux États-Unis, en Allemagne et au Royaume-Uni, mais elle s’est maintenant étendue à l’Autriche, l’Italie, la Pologne, l’Espagne et la Suisse.
Après avoir été téléchargé, Emotet se propage latéralement et infecte autant d’appareils que possible sur le réseau. Les comptes de messagerie sur les machines infectées sont détournés et utilisés pour envoyer d’autres spams à tous les contacts du compte. Enfin, le module de téléchargement de logiciels malveillants est utilisé dans une variante secondaire et souvent tertiaire des logiciels malveillants.
La dernière campagne utilise des documents Word contenant des macros malveillantes, qui lancent des scripts PowerShell et qui récupèrent le cheval de Troie Emotet sur une variété de sites web compromis, dont la plupart utilisent le CMS WordPress.
La campagne utilise une variété de leurres, y compris des factures, des avis de paiement et des relevés, dont les détails sont contenus dans des documents Word qui exigent que le contenu soit activé pour voir le contenu du document.
En ouvrant le document, l’utilisateur est invité à accepter le contrat de licence Office 365. Si le contenu n’est pas activé, selon le document, les fonctions de Microsoft Word seront désactivées.
Cette campagne comprend des lignes d’objet personnalisées incluant le nom du destinataire afin d’augmenter la probabilité qu’un utilisateur prenne l’action demandée. Les e-mails sont également conçus pour faire croire au destinataire qu’il a déjà communiqué avec l’expéditeur. En réalité, environ un quart des attaques utilisent ce genre d’arnaque. Selon les données fournies par Cofense, des courriels ont été envoyés à partir de 3 362 comptes de messagerie piratés, utilisant 1 875 noms de domaine.
Pour le moment, on ne sait pas encore si des logiciels de ransomware Ryuk ont été distribués dans le cadre de cette campagne. Plusieurs chercheurs ont confirmé que TrickBot est téléchargé en tant que charge utile secondaire.
Pour bloquer les attaques de malwares polymorphes, vous pouvez mettre en œuvre des mesures de sécurité multicouches, y compris une solution avancée de filtrage de spams, un logiciel antivirus et un filtre web. Vous devez également vous assurer que vos employés sont informés des éventuelles menaces cybercriminelles et des e-mails qui sont utilisés pour distribuer des chevaux de Troie.