Pour gérer vos consentements :
Categories: MalwaresSécurité

Emotet reprend du service : ce trojan bancaire devenu malware à tout faire

Plusieurs éditeurs de solutions de sécurité l’ont signalé ces derniers jours : Emotet est de retour.

Identifié pour la première fois en 2014, ce cheval de Troie bancaire* est devenu depuis lors une plate-forme de diffusion de spam et de malware. Il est notamment l’un des vecteurs de propagation du rançongiciel Ryuk.

Les premières versions reposaient sur un script mis en pièce jointe d’e-mails imitant des avis de paiement, des rappels de factures ou encore des notifications de suivi de colis.

Les sources d’infection se sont progressivement diversifiées. Notamment à travers l’utilisation des macros dans les logiciels de la suite Microsoft Office.

Le cas se présente actuellement. Après un « break estival », Emotet a recommencé à sévir, en s’appuyant sur des documents Word. Pour en consulter le contenu, les utilisateurs sont invités à… activer les macros.

Pour ne pas éveiller les soupçons de ses cibles, Emotet s’immisce dans des conversations qu’elles ont eues par le passé. De plus en plus souvent, il met le nom de la victime en objet.

Emotet : un air de WannaCry

Capable de détecter les VM et les bacs à sable, Emotet est aussi polymorphe. En d’autres termes, il peut changer sa représentation pour échapper aux détections basées sur les signatures.
Le registre Windows et le planificateur de tâches lui permettent d’établir une persistance sur les systèmes infectés.

Pour se propager sur des réseaux, il recourt à plusieurs outils signés NirSoft :

  • NetPass, destiné à récupérer tous les mots de passe réseau pour la session Windows en cours
  • WebBrowserPassView, pour faire de même dans les principaux navigateurs web
  • Mail PassView, pour les clients de messagerie

Les données d’identification collectées par ce biais sont communiquées à un « énumérateur » qui les teste sur les ressources réseau. Et qui cherche, en parallèle, d’éventuels volumes accessibles en écriture sur SMB via les exploits DoublePulsar et EternalBlue (qu’utilisent aussi WannaCry et NotPetya).

La durée de vie de ces identifiants est d’environ une semaine, d’après Cisco Talos. Emotet les transmet à certaines machines infectées pour qu’elles envoient à leur tour du spam.

* Ses premières cibles furent des banques allemandes et autrichiennes. Puis vinrent des homologues suisses. Les attaques se sont mondialisées depuis lors.

Recent Posts

Arm-NVIDIA : de la Chine aux USA, les barrières se dressent

Aux États-Unis, un nouvel obstacle se dresse face au projet de fusion Arm-NVIDIA. Quelles autres…

2 jours ago

Géolocalisation en entreprise : un suivi proportionné ?

Utilisés dans le cadre professionnel, smartphones et véhicules peuvent être géolocalisés par l'employeur. Qu'en pensent…

2 jours ago

Salesforce : avec Bret Taylor, Marc Benioff prépare sa succession

Promu co-CEO, Bret Taylor pilote avec Marc Benioff le prochain chapitre de Salesforce. Leurs mots…

2 jours ago

Data et cybersécurité : les métiers les plus mouvants du SI ?

Les métiers de la data et de la cybersécurité concentrent une part importante des évolutions…

2 jours ago

Teams Essentials : une réponse à la Commission européenne ?

Microsoft dégaine une offre qui permet d'accéder à Teams indépendamment de sa suite bureautique cloud.…

2 jours ago

« Convergences numériques 2022 » : le Cigref, Numeum et d’autres interpellent les présidentiables

Cigref, Numeum, Cinov, Afnum... L'industrie numérique française sert les rangs pour peser sur les programmes…

3 jours ago