Emotet

Emotet est un type de logiciel malveillant conçu à l'origine comme un cheval de Troie bancaire destiné à voler des données financières, mais il a évolué pour devenir une menace majeure pour les utilisateurs du monde entier.

.st0{fill:#0D3ECC;} TÉLÉCHARGER GRATUITEMENT MALWAREBYTES

Également pour Windows, iOS, Android, Chromebook et Pour les entreprises

Parlons du logiciel malveillant Emotet

Vous avez peut-être entendu parler d'Emotet dans les médias. De quoi s'agit-il ? Un ancien roi égyptien, le groupe emo préféré de votre sœur adolescente ? Nous craignons que non.

Le cheval de Troie bancaire Emotet a été identifié pour la première fois par des chercheurs en sécurité en 2014. Emotet a été conçu à l'origine comme un logiciel malveillant bancaire qui tentait de s'infiltrer dans votre ordinateur et de voler des informations sensibles et privées. Les versions ultérieures du logiciel ont vu l'ajout de services de spamming et de livraison de malwares, y compris d'autres chevaux de Troie bancaires.

Emotet utilise des fonctionnalités qui permettent au logiciel d'échapper à la détection de certains produits anti-malware. Emotet utilise des capacités semblables à celles d'un ver pour se propager à d'autres ordinateurs connectés. Cela facilite la distribution du logiciel malveillant. Cette fonctionnalité a conduit le ministère de la sécurité intérieure Security à conclure qu'Emotet est l'un des malwares les plus coûteux et les plus destructeurs, affectant les secteurs public et privé, les particuliers et les organisations, et coûtant plus d'un million de dollars par incident à nettoyer.

Qu'est-ce qu'Emotet ?

Emotet est un cheval de Troie qui se propage principalement par le biais de courriers électroniques non sollicités(malspam). L'infection peut arriver par l'intermédiaire d'un script malveillant, de fichiers document activés par des macros ou d'un lien malveillant. Les courriels d'Emotet peuvent contenir des marques familières conçues pour ressembler à des courriels légitimes. Emotet peut tenter de persuader les utilisateurs de cliquer sur les fichiers malveillants en utilisant un langage séduisant à propos de "Votre facture", "Détails du paiement", ou éventuellement d'un prochain envoi de la part de sociétés de transport de colis bien connues.

Emotet a connu plusieurs itérations. Les premières versions se présentaient sous la forme d'un fichier JavaScript malveillant. Les versions ultérieures ont évolué vers l'utilisation de documents dotés de macros pour récupérer la charge utile du virus à partir de serveurs de commande et de contrôle (C&C) gérés par les attaquants. 

Emotet utilise un certain nombre d'astuces pour tenter d'éviter la détection et l'analyse. Notamment, Emotet sait s'il s'exécute dans une machine virtuelle (VM) et se met en veilleuse s'il détecte un environnement sandbox, un outil utilisé par les chercheurs en cybersécurité pour observer les malwares dans un espace sûr et contrôlé.

Emotet utilise également des serveurs C&C pour recevoir des mises à jour. Cela fonctionne de la même manière que les mises à jour du système d'exploitation de votre PC et peut se faire de manière transparente et sans aucun signe extérieur. Cela permet aux attaquants d'installer des versions actualisées du logiciel, d'installer des malwares supplémentaires tels que d'autres chevaux de Troie bancaires, ou de servir de décharge pour des informations volées telles que des informations financières, des noms d'utilisateur et des mots de passe, ainsi que des adresses de courrier électronique.

Nouvelles d'Emotet

Comment Emotet se propage-t-il ?

La principale méthode de distribution d'Emotet est le malspam. Emotet pirate votre liste de contacts et s'envoie à vos amis, votre famille, vos collègues et vos clients. Comme ces courriels proviennent de votre compte de messagerie détourné, ils ressemblent moins à du spam et les destinataires, se sentant en sécurité, sont plus enclins à cliquer sur de mauvaises URL et à télécharger des fichiers infectés.

En présence d'un réseau connecté, Emotet se propage à l'aide d'une liste de mots de passe courants, devinant son chemin vers d'autres systèmes connectés dans le cadre d'une attaque par force brute. Si le mot de passe du serveur des ressources humaines est simplement "mot de passe", il est probable qu'Emotet s'y retrouve.

Les chercheurs ont d'abord pensé qu'Emotet se propageait également à l'aide des vulnérabilités EternalBlue/DoublePulsar, responsables des attaques WannaCry et NotPetya. Nous savons maintenant que ce n'est pas le cas. Ce qui a conduit les chercheurs à cette conclusion, c'est le fait que TrickBot, un cheval de Troie souvent diffusé par Emotet, utilise l'exploit EternalBlue pour se propager dans un réseau donné. C'est TrickBot, et non Emotet, qui profite des vulnérabilités EternalBlue/DoublePulsar.

Quelle est l'histoire d'Emotet ?

Identifié pour la première fois en 2014, Emotet continue d'infecter les systèmes et de nuire aux utilisateurs à ce jour, ce qui explique pourquoi nous en parlons encore, contrairement à d'autres tendances de 2014 (Ice Bucket Challenge, quelqu'un ?).

La première version d'Emotet a été conçue pour voler des données bancaires en interceptant le trafic Internet. Peu de temps après, une nouvelle version du logiciel a été détectée. Cette version, baptisée Emotet version 2, était accompagnée de plusieurs modules, dont un système de transfert d'argent, un module de malspam et un module bancaire ciblant les banques allemandes et autrichiennes.

"Les versions actuelles du cheval de Troie Emotet permettent d'installer d'autres malwares sur les machines infectées. Ces malwares peuvent inclure d'autres chevaux de Troie bancaires ou des services de diffusion de malspam".

En janvier 2015, une nouvelle version d'Emotet est apparue. La troisième version contenait des modifications furtives destinées à faire passer le logiciel malveillant sous le radar et ajoutait de nouvelles cibles bancaires suisses.

En 2018, les nouvelles versions du cheval de Troie Emotet permettent d'installer d'autres malwares sur les machines infectées. Ces malwares peuvent inclure d'autres chevaux de Troie et des ransomwares. En juillet 2019, une attaque d'Emotet sur Lake City, en Floride, a coûté à la ville 460 000 dollars en paiements de ransomwares, selon Gizmodo. Une analyse de l'attaque a révélé qu'Emotet ne servait que de vecteur d'infection initial. Une fois infecté, Emotet a téléchargé un autre cheval de Troie bancaire connu sous le nom de TrickBot et le ransomware Ryuk.

Après avoir été relativement discret pendant la majeure partie de l'année 2019, Emotet est revenu en force. En septembre 2019, Malwarebytes Labs afait état d'une campagne de spam menée par un botnet et ciblant des victimes allemandes, polonaises, italiennes et anglaises, avec des objets astucieusement formulés comme " Payment Remittance Advice " et " Overdue invoice ". L'ouverture du document Microsoft Word infecté déclenche une macro qui, à son tour, télécharge Emotet à partir de sites WordPress compromis.

À qui s'adresse Emotet ?

Tout le monde est une cible pour Emotet. À ce jour, Emotet a touché des particuliers, des entreprises et des entités gouvernementales aux États-Unis et en Europe, dérobant des identifiants bancaires, des données financières et même des portefeuilles Bitcoin.

Une attaque notable d'Emotet contre la ville d'Allentown, en Pennsylvanie, a nécessité l'aide directe de l'équipe de réponse aux incidents de Microsoft et aurait coûté plus d'un million de dollars à la ville pour y remédier.

Maintenant qu'Emotet est utilisé pour télécharger et diffuser d'autres chevaux de Troie bancaires, la liste des cibles est potentiellement encore plus large. Les premières versions d'Emotet ont été utilisées pour attaquer des clients bancaires en Allemagne. Les versions ultérieures d'Emotet ont ciblé des organisations au Canada, au Royaume-Uni et aux États-Unis.

"Une attaque notable d'Emotet contre la ville d'Allentown, en Pennsylvanie, a nécessité l'aide directe de l'équipe de réponse aux incidents de Microsoft pour être nettoyée et aurait coûté à la ville plus d'un million de dollars pour être réparée.

Comment puis-je me protéger de l'Emotet ?

En apprenant comment fonctionne Emotet, vous avez déjà fait le premier pas pour vous protéger, vous et vos utilisateurs, contre Emotet. Voici quelques mesures supplémentaires que vous pouvez prendre :

  1. Maintenez vos ordinateurs/points de terminaison à jour avec les derniers correctifs pour Microsoft Windows. TrickBot est souvent livré en tant que charge utile secondaire d'Emotet, et nous savons que TrickBot s'appuie sur la vulnérabilité Windows EternalBlue pour effectuer son sale travail.
  2. Ne téléchargez pas de pièces jointes suspectes et ne cliquez pas sur un lien douteux. Emotet ne peut pas prendre pied dans votre système ou votre réseau si vous évitez ces courriels suspects. Prenez le temps d'enseigner à vos utilisateurs comment repérer les malspams.
  3. Apprenez à vos utilisateurs et à vous-même à créer un mot de passe fort. Pendant que vous y êtes, commencez à utiliser l'authentification à deux facteurs.
  4. Vous pouvez vous protéger et protéger vos utilisateurs contre Emotet grâce à un programme de cybersécurité solide qui comprend une protection multicouche. Les produitsprofessionnels et grand public Malwarebytes détectent et bloquent Emotet en temps réel.  

Comment supprimer Emotet ?

Si vous pensez avoir été infecté par Emotet, ne vous affolez pas. Si votre ordinateur est connecté à un réseau, isolez-le immédiatement. Une fois isolé, procédez à l'application de correctifs et au nettoyage du système infecté. Mais ce n'est pas tout. En raison de la manière dont Emotet se propage dans votre réseau, un ordinateur propre peut être réinfecté lorsqu'il est rebranché à un réseau infecté. Nettoyez chaque ordinateur de votre réseau un par un. C'est un processus fastidieux, mais les solutions professionnellesMalwarebytes peuvent le faciliter, en isolant et en remédiant aux points finaux infectés et en offrant une protection proactive contre les futures infections par Emotet.

Si la connaissance est la moitié de la bataille, rendez-vous sur le site Malwarebytes Labs pour en savoir plus sur la façon dont Emotet échappe à la détection et sur le fonctionnement du code d'Emotet.