Cheval de Troie Emotet

 Dans assistance, depannage, informatique, interventions informatique, virus

ALERTE VIRUS : Cheval de Troie Emotet

 

Une campagne d’attaque est en cours et nécessite votre plus grande vigilance.

Cette campagne nommée “Emotet” compromet les boîtes aux lettres de vos correspondants et utilise vos précédents échanges pour vous tromper. Le pirate vous transmet un email qui s’apparente à une réponse de l’un de vos correspondants (le sujet est identique et contient RE:). Cette réponse contient généralement une pièce jointe (un document Word) ou un lien vous invitant à télécharger un document. Une fois le fichier ouvert, Word vous invite à activer les macros. Ne surtout pas effectuer cette action, ce qui déclenche le code malveillant et permet au pirate de récupérer des informations sur votre poste. Le code peut également se répandre sur d’autres postes de votre réseau.

Caractéristiques du cheval de Troie Emotet

Observé pour la première fois mi-2014 en tant que cheval de Troie bancaire, Emotet a évolué pour devenir un cheval de Troie modulaire. Ses différents modules actuels lui permettent :

De récupérer les mots de passe stockés sur un système ainsi que sur plusieurs navigateurs (Internet Explorer, Mozilla Firefox, Google Chrome, Safari, Opera) et boîtes courriel (Microsoft Outlook, Windows Mail, Mozilla Thunderbird, Hotmail, Yahoo! Mail et Gmail) ; de dérober la liste de contacts, le contenu et les pièces jointes attachées à des courriels ; de se propager au sein du réseau infecté en tirant parti de vulnérabilités SMB ainsi que des mots de passe récupérés.

Le code malveillant est distribué par le botnet éponyme (lui-même composé de trois groupements de serveurs différents Epoch 1, Epoch 2, Epoch 3, opérés par le groupe cybercriminel TA542) au travers de campagnes massives de courriels d’hameçonnage, souvent parmi les plus volumineuses répertoriées. Ces courriels d’hameçonnage contiennent généralement des pièces jointes Word ou PDF malveillantes, et plus rarement des URL pointant vers des sites compromis ou vers des documents Word contenant des macros.

Ces campagnes d’attaques touchent tous types de secteurs d’activités à travers le monde.

RISQUE(S)

[mise à jour du 22 septembre 2020]

L’ensemble des échantillons obtenus par l’ANSSI jusqu’à maintenant a permis de comparer ces derniers avec les listes de marqueurs en sources ouvertes référencés dans la section “Moyens de détection relatifs à Emotet”.

La fiabilité de ces flux a été assurée et nous vous encourageons à les intégrer dans vos systèmes de détection.

Contrairement aux recommandations indiquées dans la version précédente de cette alerte, il n’est donc plus nécessaire de nous faire parvenir vos échantillons.

Depuis quelques jours, l’ANSSI constate un ciblage d’entreprises et administrations françaises par le code malveillant Emotet. Il convient d’y apporter une attention particulière car Emotet est désormais utilisé pour déposer d’autres codes malveillants susceptibles d’impacter fortement l’activité des victimes.

Les recommandations de l’ANSSI

Si vous souhaitez davantage d’informations concernant cette campagne, l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) a publié un bulletin d’alerte détaillé décrivant plus précisément le fonctionnement d’Emotet, son mode opératoire, les quelques solutions pour tenter de le détecter, ainsi que des recommandations aux utilisateurs et administrateurs pour mieux s’en protéger.

SOLUTION : Moyens de détection relatifs à Emotet

Plusieurs flux existent contenant des indicateurs de compromission actualisés relatifs à Emotet, ce code faisant l’objet de nombreuses investigations dans les secteurs public et privé.

Vous pouvez vérifier si vous êtes infecté avec cet outil :
Détection Emotet – Version 32 bits Détection Emotet – Version 64 bits

RECOMMANDATIONS :

Sensibiliser les utilisateurs à ne pas activer les macros dans les pièces jointes et à être particulièrement attentifs aux courriels qu’ils reçoivent et réduire l’exécution des macros.

Limiter les accès Internet pour l’ensemble des agents à une liste blanche contrôlée.

Déconnecter les machines compromises du réseau sans en supprimer les données.

De manière générale, une suppression / un nettoyage par l’antivirus n’est pas une garantie suffisante. Seule la réinstallation de la machine permet d’assurer l’effacement de l’implant.

 

Pour plus d’informations sur l’optimisation de votre ordinateur
09 72 52 82 48
Article(s) recommandé(s)