Emotet est l’une des principales menaces de malwares actuellement utilisées par les cybercriminels pour attaquer les entreprises.
Il est principalement diffusé par le biais des spams, en utilisant divers leurres pour convaincre les utilisateurs d’installer le cheval de Troie sur leurs ordinateurs.
Les spams sont générés par de nombreux ordinateurs infectés par le cheval de Troie.
Comment fonctionne Emotet : le nouveau leurre de mise à jour Windows
Emotet détourne le compte de messagerie de sa victime et l’utilise pour envoyer des spams à ses contacts professionnels.
Les e-mails distribuant Emotet ont tendance à avoir un thème commercial, puisque ce sont les utilisateurs professionnels qui sont les plus ciblés.
Les campagnes utilisent souvent des leurres de phishing éprouvés tels que de fausses factures, des bons de commande, des avis d’expédition et des CV, etc., et les messages contiennent souvent des informations limitées.
Le destinataire est tenu d’ouvrir la pièce jointe pour avoir des informations complémentaires.
En ce qui concerne les pièces jointes, les pirates utilisent souvent des documents Word mais pas exclusivement avec des macros malveillantes qui installent le cheval de Troie Emotet sur l’appareil de la victime.
Pour que les macros puissent s’exécuter, l’utilisateur doit « activer le contenu » lorsqu’il ouvre la pièce jointe. Pour inciter les utilisateurs à ouvrir les documents joints, les pirates utilisent diverses astuces.
Souvent, les documents indiquent que le document Word a été créé sur un appareil IoS ou un appareil mobile, et que le contenu doit être activé pour permettre la visualisation du contenu, ou que le contenu du document a été protégé et qu’il ne s’affichera pas si le contenu n’est pas activé.
Au début du mois d’octobre, un nouveau leurre a été utilisé par les pirates derrière Emotet.
Des spams ont été envoyés aux victimes pour expliquer qu’une mise à jour de Windows devait être installée pour mettre à jour les applications sur leurs appareils.
Enfaite, ils affirmaient que ces applications empêchaient Microsoft Word d’afficher le contenu du document joint aux e-mails malveillants.
Les utilisateurs ont reçu pour instruction d’activer l’édition (ce qui désactive l’affichage protégé) puis d’activer le contenu. Cependant, ceci permet à la macro malveillante de s’exécuter.
Emotet ne se contente pas d’une seule attaque
L’une des principales utilisations de ce cheval de Troie est de télécharger d’autres variantes de malwares sur les appareils infectés.
En réalité, les pirates sont payés par d’autres cybercriminels pour distribuer leurs charges utiles de malwares, comme le cheval de Troie TrickBot et le malware QBot.
Apparu en 2016, TrickBot était à l’origine un cheval de Troie bancaire, mais il a été régulièrement mis à jour au cours de l’année dernière pour ajouter de nouvelles fonctions.
TrickBot agit toujours comme un cheval de Troie bancaire, mais il est aussi devenu un voleur d’informations furtif et un téléchargeur de malwares, tout comme le logiciel malveillant QBot.
Comme pour Emotet, une fois que les pirates derrière ces chevaux de Troie ont atteint leurs objectifs, ils livrent une charge utile secondaire de malwares.
Par exemple, TrickBot a été largement utilisé pour livrer le logiciel Ryuk, l’une des plus grandes menaces de ransomware actuellement utilisé par les pirates.
QBot s’est également associé à d’autres types de menace et peut désormais distribuer le ransomware Conti. À partir d’un seul e-mail de phishing, une victime peut donc recevoir Emotet, TrickBot, QBot, et subir ensuite une attaque de ransomware.
Comment faire face à Emotet : le nouveau leurre de mise à jour Windows
Il est donc essentiel que les entreprises mettent en œuvre une solution antispam efficace pour bloquer les e-mails malveillants à la source et empêcher qu’ils ne soient envoyés dans les boîtes de réception de leurs employés.
Il est également important de dispenser une formation de sensibilisation à la sécurité aux employés pour les aider à identifier les messages malveillants comme les e-mails de phishing, au cas où un message malveillant ne serait pas bloqué et atteindrait leurs boîtes de réception.
Les organisations qui s’appuient sur les défenses antispam par défaut, fournies avec les licences Office 365, devraient envisager de mettre en œuvre une solution de filtrage du spam supplémentaire pour améliorer leur protection contre Emotet, les autres malwares et les campagnes de phishing.
Les e-mails de phishing échappent souvent aux défenses d’Office 365 et sont livrés dans les boîtes de réception des employés.
Ajoutez une solution puissante et avancée de filtrage des spams (telle que SpamTitan) aux protections antispam d’Office 365 pour mieux protéger vos employés.
Pour en savoir plus sur les fonctionnalités complètes de SpamTitan et sur la manière dont la solution protège votre entreprise contre les menaces de malwares, de ransomware, de phishing et de spear phishing, contactez notre équipe dès aujourd’hui.
Si vous le souhaitez, nous pouvons organiser une démonstration du produit et nous fournirons des réponses à vos questions ainsi qu’une assistance pour vous aider à mettre en place un essai gratuit.
De cette manière, vous pourrez évaluer la solution dans votre propre environnement.