Ciblé très récemment par une redoutable attaque, le Tribunal de Paris et particulièrement les magistrats et avocats ciblés, ont manifestement été confrontés au redoutable malware Emotet. Un bulletin d'alerte émis par le CERT-FR couplé à rapport de l'ANSSI faisant état d'un ciblage d'entreprises et d'administrations françaises par ce code malveillant, montre en effet une recrudescence des cyberattaques via ce trojan. Identifié dès mi-2014, ce cheval de Troie dispose de trois modules pour récupérer des mots de passe stockés dans des navigateurs, voler des contenus et pièces jointes de courriels ainsi que des listes de contacts, et se propager dans un réseau infecté exploitant des vulnérabilités SMB.
« Le code malveillant est distribué par le botnet éponyme (lui-même composé de trois groupements de serveurs différents Epoch 1, Epoch 2, Epoch 3, opérés par le groupe cybercriminel TA542) au travers de campagnes massives de courriels d’hameçonnage, souvent parmi les plus volumineuses répertoriées. Ces courriels d’hameçonnage contiennent généralement des pièces jointes Word ou PDF malveillantes, et plus rarement des URL pointant vers des sites compromis ou vers des documents Word contenant des macros », prévient le CERT-FR. Le cocktail couplant spear phishing et Emotet s'avère explosif : la souplesse d'exploitation de ce malware permet d'inclure des historiques de conversations dans de faux échanges entre la victime et les cybercriminels pour mieux la tromper et l'inciter à ouvrir une pièce jointe malveillante ou se rendre sur un site web frauduleux, contrôlé par eux. Aucune entreprise ne semble être visée en particulier, une vigilance extrême s'impose, d'autant plus que la technique d'attaque utilisée est sophistiquée.
Une technique redoutable basée sur l'exploitation d'archives de conversations
« Une fois la boîte courriel d’un employé de l’entité victime (ou la boîte courriel générique de l’entité elle-même) compromise, le code malveillant Emotet exfiltre le contenu de certains de ses courriels. Sur la base de ces derniers, les attaquants produisent des courriels d’hameçonnage prenant la forme d’une réponse à une chaîne de courriels échangés entre l’employé et des partenaires de l’entité pour laquelle il travaille. L’objet légitime du courriel d’hameçonnage est alors précédé d’un ou plusieurs « Re : », et le courriel lui-même contient l’historique d’une discussion, voire même des pièces jointes légitimes. Ces courriels, d’apparence légitime, sont envoyés à des contacts de la victime, et plus particulièrement aux tierces parties de l’entité (clients et prestataires notamment) ayant participé au fil de discussion originel, afin d’accroître leur crédibilité auprès des destinataires », prévient le CERT-FR.
Auparavant utilisé en tant que cheval de Troie bancaire, Emotet a élargi son spectre d'action depuis 2017 en étant utilisé pour la distribution de codes malveillants tiers, notamment Qbot, Trickbot, IcedID, GootKit, BokBot, Dridex et DoppelDridex qui « peuvent être distribués en tant que seconde charge utile, avec une prédominance en 2020 de Qbot et TrickBot », explique le CERT-FR.