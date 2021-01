En est-ce fini d’Emotet ? Europol veut y croire au sortir d’une opération qui a impliqué les forces de police de huit pays dont la France.

La démarche a atteint son point culminant le 26 janvier, avec des perquisitions et des arrestations en Ukraine. C’est là que se trouvait l’épicentre supposé de ce botnet au sujet duquel le CERT-FR avait encore récemment émis une alerte.

La « famille Emotet » avait émergé en 2014. Elle comprend plusieurs variantes du trojan bancaire Feodo, lui-même proche parent de Dridex*.

Avec les années, l’attribut « cheval de Troie » est resté. Mais avec des capacités élargies allant du piratage de boîtes mail à la propagation au sein des réseaux infectés.

Emotet est aussi devenu un support de diffusion d’autres malwares. Notamment TrickBot, lui-même vecteur de propagation du ransomware Ryuk.

Les premières version d’Emotet reposaient sur un script mis en pièce jointe d’e-mails imitant des avis de paiement, des rappels de factures ou encore des notifications de suivi de colis. Les sources d’infection se sont progressivement diversifiées, en particulier à travers l’utilisation de macros dans les logiciels de la suite Office.

Pour ne pas éveiller les soupçons de ses cibles, Emotet s’immisce dans les conversations qu’elles ont eues par le passé. Capable de détecter VM et bacs à sable, il est aussi polymorphe. C’est-à-dire qu’il peut changer sa représentation pour échapper aux détections basées sur les signatures. Le registre Windows et le planificateur de tâches lui permettent d’établir une persistance sur les systèmes infectés.

Emotet is known for its penchant for using holiday-themed emails, but this week’s campaign also uses what’s proven effective for the operators: a wide range of lures in massive volumes of emails, the use of fake replies or forwarded emails, password-protected archive attachments. pic.twitter.com/tgJpvC3hKV

— Microsoft Security Intelligence (@MsftSecIntel) December 29, 2020