Les États-Unis mettent en garde contre le malware Emotet comme l'une des menaces les plus répandues aujourd'hui,
Après avoir détecté environ 16 000 nouvelles alertes liées à son activité

La Cybersecurity and Infrastructure Security Agency (CISA) du ministère américain de la Sécurité intérieure a lancé un avertissement concernant l'augmentation considérable de l'activité des attaquants derrière le cheval de Troie Emotet. Le logiciel malveillant Emotet est devenu « l'une des menaces permanentes les plus répandues », car il cible de plus en plus les gouvernements nationaux et locaux et les infecte avec d'autres logiciels malveillants, a déclaré la semaine dernière la branche cybersécurité du ministère de la Sécurité intérieure.

Emotet a été identifié pour la première fois en 2014 comme un cheval de Troie relativement simple pour le vol d'identifiants de comptes bancaires. En un an ou deux, il s'était réinventé en tant que formidable téléchargeur qui, après avoir infecté un PC, installait d'autres logiciels malveillants. Parmi ses activités actuelles, on peut compter la récupération des mots de passe stockés sur un système et sur plusieurs navigateurs, ainsi que vol de liste de contacts, le contenu et les pièces jointes attachées à des courriels. Le cheval de Troie bancaire Trickbot et le logiciel de rançon Ryuk sont deux des suites les plus courantes.


Le mois dernier, Microsoft, l'Italie et les Pays-Bas ont mis en garde contre un pic dans l’activité de spamming malveillant d’Emotet. Quelques semaines avant, Emotet a réussi à s'infiltrer dans les systèmes du ministère de la Justice du Québec et à intensifier ses attaques contre les gouvernements de la France et du Japon. Il a également ciblé le Comité national démocratique aux États-Unis.

Emotet s'est calmé après février, mais est revenu en force en juillet. La CISA décrit Emotet comme un « cheval de Troie sophistiqué fonctionnant généralement comme un téléchargeur ou un compte-gouttes d'autres logiciels malveillants » et « l'une des menaces permanentes les plus répandues ».

L'évaluation de la CISA est compréhensible étant donné qu'Emotet est considéré comme l'un des botnets les plus destructeurs au monde. Selon un rapport publié en février par Binary Defense, le malware est maintenant capable de s'étendre aux réseaux Wi-Fi à proximité. Il possède un type de chargeur qui tire parti de l’interface wlanAPI pour recenser tous les réseaux Wi-Fi présents dans une région donnée, puis tente de se propager à ces réseaux.

Emotet se propage avec des caractéristiques semblables à celles d'un ver par le biais de pièces jointes de courriel de phishing ou de liens qui chargent une pièce jointe de phishing. Après avoir été ouvert, Emotet s'efforce de se propager sur un réseau en devinant les informations d'identification de l'administrateur et en les utilisant pour écrire à distance sur des lecteurs partagés en utilisant le protocole de partage de fichiers SMB, qui donne à l'attaquant la possibilité de se déplacer latéralement sur un réseau.

Environ 16 000 alertes liées à l'activité d’Emotet détectées depuis juillet dernier

Selon la CISA, les gouvernements des États et des collectivités locales des États-Unis font également l'objet d'une attention indésirable de la part du logiciel malveillant. EINSTEIN, le système de détection d'intrusion de l'agence pour la collecte, l'analyse et le partage d'informations de sécurité entre les départements et agences civils fédéraux, a également constaté une forte augmentation ces dernières semaines. Dans un avis publié mardi, les responsables ont écrit :

« Depuis juillet 2020, la CISA a constaté une activité accrue concernant les indicateurs associés à Emotet. Au cours de cette période, le système de détection d'intrusion EINSTEIN de la CISA, qui protège les réseaux fédéraux et civils du pouvoir exécutif, a détecté environ 16 000 alertes liées à l'activité Emotet. La CISA a observé l'exécution d'Emotet par phases au cours d'éventuelles campagnes ciblées », lit-on dans l’alerte du Département de la Sécurité intérieure.

« Emotet a utilisé des documents Word (.doc) compromis, joints à des courriels de phishing, comme vecteurs d'insertion initiale. Le trafic réseau de commande et de contrôle possible impliquait des requêtes HTTP POST vers des Uniform Resource Identifiers (identificateurs de ressources uniformes) constitués de répertoires alphabétiques de longueur aléatoire non sensés vers des domaines ou des adresses IP connus liés à Emotet avec la chaîne d'agent utilisateur suivante (Application Layer Protocol : Web Protocols [T1071.001]) ».

En septembre, Microsoft a remarqué qu'Emotet utilisait également des pièces jointes ZIP protégées par mot de passe au lieu de documents Office pour contourner les passerelles de sécurité du courrier électronique.

Selon un rapport publié par Proofpoint, la société américaine de sécurité d'entreprise dit avoir observé des milliers de messages électroniques d’Emotet ayant pour objet "Team Blue Take Action" envoyés à des centaines d'organisations aux États-Unis. Selon Proofpoint, le corps du message était tiré directement d'une page du site Web du Comité national démocrate, avec l'ajout d'une ligne demandant au destinataire d'ouvrir le document joint.

Les autres stratagèmes astucieux actuellement utilisés par Emotet comprennent : une conception polymorphe, ce qui signifie qu'il change constamment ses caractéristiques identifiables, le rendant difficile à être détecté comme étant malveillant ; les infections sans fichier, comme les scripts Powershell ; et le détournement de fil de discussion, c'est-à-dire qu'il vole des chaînes de courrier électronique d'une machine infectée et utilise une identité usurpée pour répondre afin de tromper d'autres personnes dans le fil de discussion pour les emmener à ouvrir un fichier malveillant ou cliquer sur un lien malveillant.

Le digramme ci-dessous montre certaines des techniques employées par Emotet :


Selon un autre billet de blog publié la semaine dernière, la société de sécurité Intezer a déclaré qu'elle voyait elle aussi une forte augmentation, 40 % des échantillons analysés par ses entreprises clientes et les utilisateurs de la communauté étant classés comme Emotet. « Dans un monde où tout est apparemment imprévisible, il semble que nous puissions compter sur Emotet pour nous garder en alerte », ont écrit les chercheurs d'Intezer. « Cela ne devrait pas nous empêcher d'être plus stratégiques dans la manière dont nous adaptons notre approche pour faciliter l'identification de cette menace ».

« Emotet reste l'une des menaces les plus fréquentes classées par la communauté Intezer Analyze, avec le Trickbot, un autre cheval de Troie bancaire. Ces logiciels malveillants fonctionnent souvent en tandem, l'infection initiale commençant par Emotet, suivie par d'autres logiciels malveillants téléchargés sur le point final, tels que Trickbot et Ryuk ransomware », ont ajouté les chercheurs.

L’ANSSI, l’Agence nationale française de la sécurité des systèmes d'information, qui a publié une alerte de recrudescence d’activité d’Emotet en France en septembre, recommande de sensibiliser les utilisateurs à ne pas activer les macros dans les pièces jointes. Ils doivent être particulièrement attentifs aux courriels qu’ils reçoivent et réduire l’exécution des macros.

L’Agence recommande également la limitation des accès Internet pour l’ensemble des agents à une liste blanche contrôlée, et elle préconise de déconnecter les machines compromises du réseau sans en supprimer les données. Selon l’ANSSI, de manière générale, une suppression / un nettoyage par l’antivirus n’est pas une garantie suffisante. Seule la réinstallation de la machine permet d’assurer l’effacement de l’implant.

Sources : CISA, Proofpoint

Et vous ?

Que pensez-vous du malware Emotet qui monte en puissance en diversifiant ses stratégies d’attaque ?
Que faut-il faire, selon vous, pour stopper la propagation de ce logiciel malveillant ?

Voir aussi :

Emotet, l'un des botnets les plus destructeurs, peut désormais s'étendre aux réseaux Wi-Fi à proximité, en se servant de wlanAPI
Les cybercriminels profitent du coronavirus pour propager des logiciels malveillants en utilisant Emotet, un cheval de Troie diffusé via des e-mails
Les attaques de ransomware contre les entreprises ont augmenté de plus de 500% au premier trimestre, d'après un rapport de Malwarebytes
265 chercheurs dans le monde ont mis en commun leurs découvertes, contribuant à éliminer plus de 100 000 sites Web de distribution de malwares