Identifié pour la première fois en 2014 comme un cheval de Troie assez basique, Emotet est devenu un formidable malware capable d’installer d’autres malwares sur des PC infectés. En 2020, il réussit à infiltrer le ministère de la Justice du Québec, avant d’intensifier ses attaques contre les gouvernements français, japonais et néo-zélandais. Après plusieurs mois d’absence, il est de retour pour vous jouer un mauvais tour.
Emotet a un nouveau tour dans sa manche
L’une des caractéristiques du malware Emotet est d’envoyer des e-mails malveillants qui semblent provenir d’un contact connu en s’adressant au destinataire par son nom et en faisant semblant de répondre à une conversation précédente. Il incite ensuite les utilisateurs à cliquer sur des liens dangereux ou à activer des macros (séries d’instructions regroupées dans une seule commande/raccourci) dans les documents Microsoft Office joints.
Afin d’échapper aux différents systèmes de sécurité, Emotet dispose d’une nouvelle méthode : joindre un document Word dans lequel il y a énormément de données superflues à la fin (une série de zéros par exemple). Le but ici est de joindre un fichier qui pèse plus de 500 Mo, ce qui est suffisamment volumineux pour empêcher certaines solutions de sécurité d’analyser le contenu du document.
Une variante de cette méthode, connue sous le nom de “remplissage binaire” ou “pompage de fichiers”, consiste à écrire du texte blanc sur un fond blanc afin qu’il ne soit pas visible. N’importe quel texte peut faire l’affaire, comme on peut le voir ci-dessus avec un extrait du roman Moby Dick d’Herman Melville.
Au-delà du poids du fichier, le texte ajouté par les pirates qui utilisent Emotet permet d’éviter d’être automatiquement écarté par les différentes solutions de sécurité. En effet, ces derniers marquent systématiquement les fichiers Microsoft Office qui ne contiennent qu’une macro et une image. Le texte permet ainsi au dossier de passer entre les mailles du filet.
Une fois les fichiers ouverts, les documents Word contiennent une image indiquant que le contenu n’est pas accessible à moins que l’utilisateur ne clique sur le bouton “activer le contenu”. L’exécution de cette action remplace la valeur par défaut de Word qui désactive les macros téléchargées depuis Internet.
---
Une fois exécutée, la macro force alors Office à télécharger un fichier .zip à partir d’un site Web légitime piraté. Une fois décompressé, un fichier DLL infecté est installé. Ce dernier est une bibliothèque qui contient du code et des données utilisables simultanément par plusieurs programmes.
Découvrir : Comment les pirates utilisent ChatGPT pour vider votre compte bancaire
Après avoir infecté la machine de la victime, le logiciel malveillant est capable de voler des mots de passe et d’autres données sensibles. Emotet peut alors copier les conversations par e-mail reçues sur les machines infectées et les utiliser pour envoyer des spams aux contacts des victimes, qui seront à leur tour infectées.
Le meilleur moyen de se prémunir contre ces attaques est de ne jamais activer les macros dans un document reçu par email, sauf si vous avez contacté la personne qui vous l’a envoyé par un autre moyen de communication.
