Plusieurs éditeurs de solutions de sécurité l’ont signalé ces derniers jours : Emotet est de retour.
Identifié pour la première fois en 2014, ce cheval de Troie bancaire* est devenu depuis lors une plate-forme de diffusion de spam et de malware. Il est notamment l’un des vecteurs de propagation du rançongiciel Ryuk.
Les premières versions reposaient sur un script mis en pièce jointe d’e-mails imitant des avis de paiement, des rappels de factures ou encore des notifications de suivi de colis.
Les sources d’infection se sont progressivement diversifiées. Notamment à travers l’utilisation des macros dans les logiciels de la suite Microsoft Office.
Le cas se présente actuellement. Après un « break estival », Emotet a recommencé à sévir, en s’appuyant sur des documents Word. Pour en consulter le contenu, les utilisateurs sont invités à… activer les macros.
Pour ne pas éveiller les soupçons de ses cibles, Emotet s’immisce dans des conversations qu’elles ont eues par le passé. De plus en plus souvent, il met le nom de la victime en objet.
Capable de détecter les VM et les bacs à sable, Emotet est aussi polymorphe. En d’autres termes, il peut changer sa représentation pour échapper aux détections basées sur les signatures.
Le registre Windows et le planificateur de tâches lui permettent d’établir une persistance sur les systèmes infectés.
Pour se propager sur des réseaux, il recourt à plusieurs outils signés NirSoft :
Les données d’identification collectées par ce biais sont communiquées à un « énumérateur » qui les teste sur les ressources réseau. Et qui cherche, en parallèle, d’éventuels volumes accessibles en écriture sur SMB via les exploits DoublePulsar et EternalBlue (qu’utilisent aussi WannaCry et NotPetya).
La durée de vie de ces identifiants est d’environ une semaine, d’après Cisco Talos. Emotet les transmet à certaines machines infectées pour qu’elles envoient à leur tour du spam.
* Ses premières cibles furent des banques allemandes et autrichiennes. Puis vinrent des homologues suisses. Les attaques se sont mondialisées depuis lors.
Sous la marque Horizon OS, Meta va ouvrir le système d'exploitation des casques Quest à…
Après avoir essaimé dans 145 pays, la communauté de femmes de la tech Women Who…
Les voix du CISPE et des associations d'utilisateurs s'accordent face à Broadcom et à ses…
Bonnes pratiques, indicateurs, prestataires... Aperçu de quelques arbitrages que le comité d'organisation de Paris 2024…
Le 31 mars 2023, le PTCC (Programme de transfert au Campus Cyber) était officiellement lancé.…
Nicolas Gour, DSI du groupe Worldline, explique comment l’opérateur de paiement fait évoluer sa gouvernance…