Malgré la récente résurrection du cybergang Emotet après le démantèlement de son réseau de zombies au début de l’année dernière, l’ancien « malware le plus dangereux du monde » est resté relativement calme. Actuellement, Emotet ne joue plus un rôle important dans l’actualité des ransomwares. Cela pourrait changer : Hier soir, mercredi, les réseaux de zombies d’Emotet ont connu une forte augmentation du nombre de spams avec des pièces jointes malveillantes.

Les lanceurs de spam

Les chercheurs de Cryptolaemus ont observé une augmentation extrême du nombre de spams provenant des nouveaux réseaux de zombies d’Emotet. Les exploitants de réseaux de zombies utilisent pour cela les astuces d’ingénierie sociale déjà connues : Au moins une partie des e-mails ressemble à une réponse apparente d’un expéditeur connu. Avec une pièce jointe de type fichier Office que les destinataires sont priés d’ouvrir.

Cryptolaemus écrit que les courriels d’appât sont rédigés en plusieurs langues. Comme fichiers joints, ils ont trouvé aussi bien des feuilles de calcul Excel directement attachées que des archives ZIP protégées par mot de passe – une tentative de passer les filtres de messagerie.

A l’ouverture des fichiers Excel, il est demandé de cliquer sur « Activer le contenu », ce qui permet d’exécuter des macros. Celles-ci téléchargent ensuite d’autres codes malveillants depuis Internet et infectent le système. Pour dissimuler les adresses IP aux filtres ou aux logiciels antivirus, elles sont indiquées en notation octale et non décimale – par exemple 0177.0.0.01 au lieu de 127.0.0.1.

L’utilisateur de Twitter neoxmorpheus a posté des captures d’écran de tels e-mails Emotet.

Tentative de retour

Le gang Emotet tente apparemment de faire son retour. Mais il est peu probable qu’Emotet parvienne à reconquérir sa position prépondérante dans le domaine des ransomwares. Car ce n’est pas comme si les autres criminels n’avaient fait qu’attendre leur retour, bien au contraire. D’autres gangs ont rapidement comblé les lacunes apparues dans le réseau d’approvisionnement de l’infrastructure cybercriminelle. La concurrence a rattrapé son retard depuis longtemps et a même fait des progrès dans de nombreux domaines.

Malgré tout, c’est le bon moment pour rappeler qu’il faut utiliser les pièces jointes aux e-mails et notamment les fichiers Office en toute sécurité. En effet, les e-mails Emotet ont parfois un aspect trompeur et peuvent induire en erreur les utilisateurs non préparés. En outre, les administrateurs peuvent bloquer les adresses régulièrement mises à jour des serveurs Command&Control à l’aide de la liste de Feodo-Tracker, par exemple dans les pare-feux de périmètre, afin qu’une attaque potentielle déclenche au moins une alarme.