Édouard
Emotet est un type de malware développé à l’origine comme un cheval de Troie bancaire dans le but de voler des données financières, mais son évolution en a fait une menace majeure pour les utilisateurs du monde entier. Selon ESET, Emotet « est de retour »…
Emotet est une famille de malwares active depuis 2014…
ESET, l’une des principales sociétés européennes de solutions de cybersécurité, révèle les dernières activités du tristement célèbre Emotet depuis son retour dans le paysage des cybermenaces fin 2021. Emotet est une famille de logiciels malveillants active depuis 2014, exploitée par un groupe cybercriminel connu sous le nom de Mealybug ou TA542.
Bien qu’il ait commencé comme un cheval de Troie bancaire, Emotet a ensuite évolué pour devenir un réseau d’appareils en ligne infectés par des logiciels malveillants – ou botnet – devenant l’une des cybermenaces les plus répandues au monde.
En janvier 2021, Emotet a fait l’objet d’un retrait limité, à la suite d’un effort international et collaboratif de huit pays, coordonné par Eurojust et Europol. Cependant, Emotet est revenu en ligne en novembre 2021 avec plusieurs campagnes de spam, qui se sont terminées brutalement en avril 2023. Lors de ses dernières campagnes de 2022-2023, la plupart des attaques détectées par ESET ciblaient particulièrement l’Europe du Sud et le Japon.
Selon le chercheur d’ESET Jakub Kaloč…
Emotet se propage via des spams. Il peut extraire des informations et distribuer des logiciels malveillants tiers sur des ordinateurs compromis. Les opérateurs d’emotet ne sont pas très pointilleux sur leurs cibles, installant leurs malwares sur des systèmes appartenant à des particuliers et des entreprises de toutes tailles…
Tout au long de la fin de 2021 et jusqu’à la mi-2022, Emotet s’est propagé principalement via des documents Microsoft Word et Microsoft Excel malveillants avec des macros VBA intégrées. En juillet 2022, Microsoft a changé les règles du jeu pour toutes les familles de logiciels malveillants comme Emotet en désactivant les macros VBA dans les documents obtenus sur Internet.
En désactivant le principal vecteur d’attaque d’Emotet, ses opérateurs recherchent de nouvelles façons de compromettre leurs cibles. Le groupe Mealybug a commencé à expérimenter des fichiers LNK et XLL malveillants. En 2023, les opérateurs d’Emotet ont mené trois campagnes distinctes de spam malveillant (ou « malspam »), chacune testant une voie d’intrusion et une technique d’ingénierie sociale légèrement différentes.
Cependant, la taille décroissante des attaques et les changements constants d’approche peuvent suggérer une insatisfaction face aux résultats.
Le chercheur mentionne…
Après sa résurgence, Emotet a reçu plusieurs mises à jour. Les caractéristiques les plus notables étaient le fait que le botnet a modifié son schéma de cryptage et mis en œuvre plusieurs nouvelles techniques de camouflage pour protéger ses modules.
Les opérateurs d’Emotet ont investi des efforts considérables pour éviter la surveillance et le traçage de leur botnet depuis son retour. De plus, ils ont implémenté plusieurs nouveaux modules et amélioré ceux existants pour rester rentables.
Emotet se propage via des e-mails de spam, et les gens font souvent confiance à ces e-mails car ils utilisent avec succès une technique de détournement de fil d’e-mails. Avant son retrait, Emotet utilisait des modules appelés Outlook Contact Stealer et Outlook Email Stealer, qui étaient capables de voler des e-mails et des informations de contact à partir d’Outlook. Cependant, comme tout le monde n’utilise pas Outlook, l’Emotet post-retrait s’est également concentré sur une application de messagerie alternative gratuite (Thunderbird). En outre, il a commencé à utiliser le module Google Chrome Credit Card Stealer, qui vole les informations de carte de crédit stockées dans le navigateur de Google.
Envie de vous détendre un peu ? Voici un reportage très intéressant sur l’intelligence artificielle :
