L’ANSSI prévient : le Trojan Emotet est très actif en France

Le cheval de troie Emotet est pris très au sérieux par l'ANSSI et le CERT-FR qui a diffusé un bulletin d'alerte à son sujet notamment parce qu'il est très actif en France. Pendant 5 mois, Emotet ne donnait plus de signe de vie mais depuis juillet 2020 il est de retour.

A la base, ce trojan cible les données bancaires mais il s'avère que son spectre d'attaque s'est élargi et il s'appuie sur du spear phishing pour tromper ses victimes. En effet, des e-mails sont envoyés avec un faux historique de conversation par e-mail pour tenter de tromper l'utilisateur et de gagner sa confiance. L'ANSSI constate que depuis quelques jours ce trojan s'attaque aux entreprises et administrations françaises.

Emotet n'est pas nouveau puisqu'il a été repéré la première fois en 2014. Il dispose de trois modules capable de récupérer les mots de passe stockés dans les navigateurs (Internet Explorer, Mozilla Firefox, Google Chrome, Safari, Opera) et dérober des pièces jointes, listes de contacts ainsi que des courriels, pour ensuite se propager au travers du réseau en exploitant des vulnérabilités du protocole SMB notamment EternalBlue. L'ANSSI mentionne que Emotet s'attaque aux clients de messagerie suivants : Microsoft Outlook, Windows Mail, Mozilla Thunderbird, Hotmail, Yahoo! Mail et Gmail.

L'ANSSI explique clairement et précisément comment s'y prend Emotet pour tromper les victimes : "Une fois la boîte courriel d’un employé de l’entité victime compromise, le code malveillant Emotet exfiltre le contenu de certains de ses courriels. Sur la base de ces derniers, les attaquants produisent des courriels d’hameçonnage prenant la forme d’une réponse à une chaîne de courriels échangés entre l’employé et des partenaires de l’entité pour laquelle il travaille. L’objet légitime du courriel d’hameçonnage est alors précédé d’un ou plusieurs « Re : », et le courriel lui-même contient l’historique d’une discussion, voire même des pièces jointes légitimes."

En lisant ces quelques lignes, vous pouvez rapidement comprendre que ce trojan est astucieux et qu'il peut en tromper plus d'un. En effet, les courriels générés par Emotet ont une apparence légitime et ils vont être envoyés aux personnes ayant participées à la conversation d'origine, de quoi accroître sa crédibilité.

Un détail est important : les e-mails ne sont pas envoyés à partir des boites aux lettres compromises. Ils sont envoyés directement par le groupe de hackers TA52 à partir d'adresses ayant une orthographe douteuse : un point important à mettre en avant auprès de vos utilisateurs.

L'e-mail en lui-même n'est pas dangereux mais ce sont les éléments qu'il contient qui sont dangereux. En fait, l'e-mail contient généralement une pièce jointe malveillant, soit un document Word, soit un PDF, et parfois un lien qui renvoie vers des sites compromis ou vers un document Word doté de macros malveillantes.

En cas d'infection, le nettoyage de la machine par l'antivirus n'est pas la garantie que la machine est complètement nettoyée. Le mieux étant de réinstaller la machine. Si vous avez un doute, vous pouvez télécharger l'outil Emocheck sur votre machine pour vérifier la présence du trojan sur une machine Windows. Il s'agit d'un outil créé par le CERT Japonais et disponible à cette adresse : Emocheck

En complément d'information, l'ANSSI recommande de consulter le site cryptolaemus.com pour récupérer une liste des adresses IP des serveurs associés à Emotet.

Source

Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Partager sur Google+ Envoyer par mail

Florian BURNEL

Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.

Nombre de posts de cet auteur : 5503.Voir tous les posts

One thought on “L’ANSSI prévient : le Trojan Emotet est très actif en France

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.