Nouvelles Menaces

Emotet : Un malware redoutable

Emotet est une sorte de malware qui était à l’origine un cheval de Troie bancaire conçu pour voler des données financières, mais il a évolué et est devenu une redoutable menace pour les utilisateurs du monde entier.

Parlons du malware Emotet

Vous avez peut-être entendu parler d’Emotet dans l’actualité. Qu’est-ce ? Un roi de l’Égypte antique ou le nom du groupe emo favori de votre ado de sœur ? Pas vraiment.

Le cheval de Troie bancaire Emotet a été identifié pour la première fois en 2014 par des chercheurs en sécurité. Emotet était conçu à l’origine comme un malware bancaire qui tentait de pénétrer de manière sournoise dans votre ordinateur pour voler des informations sensibles et privées. Les versions suivantes du logiciel ont vu l’ajout de services de diffusion spam et de malware, y compris d’autres chevaux de Troie bancaires.

Emotet utilise une fonctionnalité qui aide le logiciel à échapper aux détections de certains produits anti-malware. Emotet utilise des fonctionnalités semblables à celles utilisées par les vers pour se propager à d’autres ordinateurs connectés. Cela permet de mieux diffuser le malware. Cette fonctionnalité a conduit le Département de la Sécurité intérieure des États-Unis à conclure qu’Emotet est l’un des malwares les plus coûteux et destructeurs, qui concerne les secteurs privés et gouvernementaux, les individus et les entreprises, et dont le coût de nettoyage par incident peut coûter plus de 1 million de dollars.

Qu’est-ce qu’Emotet ?

Emotet est un cheval de Troie qui se propage principalement par des e-mails de spam (malspams). L’infection peut provenir d’un script malveillant, de fichiers document qui prennent en charge les macros, ou des liens malveillants. Les e-mails d’Emotet peuvent contenir des supports de marques connues pour prendre l’apparence d’e-mail légitimes. Emotet peut essayer de persuader les utilisateurs à cliquer sur des fichiers malveillants en utilisant un discours ayant pour but de tenter l’utilisateur, avec « Votre facture », « Détails de paiement », ou peut-être une prochaine livraison d’un livreur de colis connu.

Différentes versions d’Emotet sont déjà sorties. Les premières versions prenaient la forme d’un fichier JavaScript malveillant. Les versions suivantes ont évolué afin d’utiliser les documents prenant en charge les macros afin qu’ils récupèrent la charge utile du virus à partir de serveurs de contrôle et commande (C&C) exécutés par les cybercriminels. 

« Emotet est polymorphe, ce qui signifie qu’il peut changer sa représentation à chaque téléchargement, échappant ainsi aux détections basées sur les signatures ».

Emotet utilise différentes techniques pour essayer d’échapper aux détections et aux analyses. Emotet est polymorphe, ce qui signifie qu’il peut changer sa représentation à chaque téléchargement, échappant ainsi aux détections basées sur les signatures. Par ailleurs, Emotet comprend s’il est exécuté au sein d’une machine virtuelle et reste dormant s’il détecte un environnement de type sandbox.

Emotet utilise aussi les serveurs C&C pour recevoir des mises à jour de manière similaire au fonctionnement des mises à jour du système d’exploitation de votre ordinateur, et cela peut se produire en continu et sans aucun signe extérieur. Cela permet aux cybercriminels d’installer des versions mises à jour du logiciel ou des malwares supplémentaires tels que d’autres chevaux de Troie bancaires, ou agir comme dépotoir pour des informations volées, comme des identifiants, noms d’utilisateur et mots de passe financiers, et des adresses e-mail.

Comment est-ce qu’Emotet se propage ?

La principale méthode de diffusion d’Emotet est par le biais du malspam. Emotet fouille dans votre liste de contacts et s’ajoute aux e-mails qu’il envoie à vos amis, votre famille, vos collègues et clients. Comme ces e-mails proviennent de votre compte piraté, ils ressemblent moins à du spam, et les destinataires, se sentant en sécurité, sont plus enclins à cliquer sur les URL malveillantes et à télécharger les fichiers infectés.

S’il est confronté à un réseau connecté, Emotet se propage à l’aide d’une liste de mots de passe fréquents, qui lui permet de deviner le mot de passe pour entrer dans d’autres systèmes connectés par une attaque par force brute. Si le mot de passe du très important serveur des ressources humaines est simplement « motdepasse », il alors très probable qu’Emotet réussisse à y entrer.

Une autre méthode qu’Emotet utilise pour se propager consiste à exploiter les vulnérabilités EternalBlue/DoublePulsar, qui furent responsables des attaques WannaCry et NotPetya. Ces exploits profitent des vulnérabilités de Windows qui permettent d’installer des malwares sans aucune interaction humaine.
Cette capacité à se répliquer, comme les malwares de type ver, est à l’origine de véritables casse-têtes pour les administrateurs réseau dans le monde entier, comme Emotet se propage de système à système.

Quel est l’historique d’Emotet ?

Emotet a été identifié pour la première fois en 2014 et continue à ce jour à infecter des systèmes et à nuire aux utilisateurs, et c’est pour cela que nous en parlons toujours, à l’inverse de certaines tendances de l’année 2014

La version 1 d’Emotet était conçue pour voler les détails de comptes bancaires en interceptant le trafic internet. Peu de temps après, une nouvelle version du logiciel a été détectée. Cette version, aussi appelée Emotet version 2, se présentait sous forme de package contenant plusieurs modules, y compris un système de transfert d’argent, un module de malspam et un module bancaire qui ciblait les banques allemandes et autrichiennes.

« Les versions actuelles du cheval de Troie Emotet ont la capacité d’installer d’autres malwares dans les machines infectées. Ces malwares peuvent comprendre d’autres chevaux de Troie bancaires ou services de distribution de malspam. »

À partir de janvier 2015, une nouvelle version d’Emotet était apparue sur la scène. La version 3 contenait des modifications furtives conçues pour que le malware reste dans l’ombre et contenait de nouvelles cibles bancaires suisses.

Et maintenant en 2018 : Les versions actuelles du cheval de Troie Emotet ont la capacité d’installer d’autres malwares dans les machines infectées. Ces malwares peuvent comprendre d’autres chevaux de Troie ou des services de distribution de malspam.

Quelles sont les cibles d’Emotet ?

Tout le monde est une cible pour Emotet. À ce jour, Emotet a ciblé des individus, des entreprises et des entités gouvernementales d’un bout à l’autre des États-Unis et de l’Europe, en volant des identifiants bancaires, des données financières et mêmes de portefeuilles Bitcoin.

Une attaque notable d’Emotet sur la ville d’Allentown, en Pennsylvanie, nécessita une aide directe de l’équipe de réponse aux incidents de Microsoft pour le nettoyage, et elle aurait coûté plus de 1 million de dollars à corriger.

Maintenant qu’Emotet sert à télécharger et à diffuser d’autres chevaux de Troie bancaires, la liste des cibles est potentiellement encore plus importante. Les premières versions d’Emotet étaient utilisées pour attaquer les clients bancaires en Allemagne. Les versions suivantes d’Emotet ciblaient des organisations au Canada, au Royaume-Uni et aux États-Unis.

« Une attaque notable d’Emotet sur la ville d’Allentown, en Pennsylvanie, nécessita une aide directe de l’équipe de réponse aux incidents de Microsoft pour le nettoyage, et elle aurait coûté plus de 1 million de dollars à corriger. »

Comment puis-je me protéger d’Emotet ?

Vous êtes déjà en train de suivre la première mesure pour vous protéger et protéger vos utilisateurs d’Emotet en apprenant comment Emotet fonctionne. Voici quelques autres mesures que vous pouvez suivre :

  1. Maintenez vos ordinateurs et terminaux à jour avec les derniers correctifs de Microsoft Windows. Emotet peut profiter de la vulnérabilité EternalBlue de Windows pour faire ses mauvaises actions, alors ne laissez pas cette porte ouverte sur votre réseau.
  2. Ne téléchargez pas de pièces-jointes suspectes, et ne cliquez pas sur des liens qui semblent louches. Cette porte d’entrée initiale pour Emotet dans votre système ou réseau n’existe pas si vous évitez ces e-mails suspects. Prenez le temps de former vos utilisateurs à identifier des malspams.
  3. Sensibilisez-vous et sensibilisez vos utilisateurs à créer des mots de passe forts. Et tant que vous y êtes, utilisez une authentification à deux facteurs.
  4. Vous pouvez vous protéger et protéger vos utilisateurs d’Emotet avec un programme de sécurité robuste qui inclut une protection multicouche.

Comment puis-je supprimer Emotet ?

Si vous pensez être déjà infecté par Emotet, ne paniquez pas. Si votre ordinateur est connecté à un réseau, isolez-le immédiatement. Une fois isolé, procédez à la correction et au nettoyage du système infecté. Mais vous n’avez pas encore terminé. À cause de la manière par laquelle Emotet se propage sur l’intégralité de votre réseau, un ordinateur nettoyé peut être réinfecté lors de sa reconnexion à un réseau infecté. Il vous faudra nettoyer chaque ordinateur connecté au réseau, un par un. C’est un processus fastidieux mais les solutions Malwarebytes pour les entreprises peuvent vous faciliter la tâche en isolant et en réparant les terminaux infectés, et en vous offrant une protection proactive contre de futures infections d’Emotet.

Afficher plus

Fawaz MOUSSOUGAN

Consultant en cybersécurité, Alumni Yali Dakar : Public Management, Digital Grassroot Ambassador Contact@cyber-attitude.com

Articles similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Bouton retour en haut de la page
error: Contenu protégé !!
Fermer
Fermer