Le malware prolifique vient de refaire surface, cette fois pour les fêtes de fin d’année, via des campagnes de phishing.
A la fin du mois d’octobre dernier, les chercheurs de l’éditeur Proofpoint annonçaient qu’Emotet surfait sur les élections américaines. Et début novembre, ils expliquaient qu’ Emotet avec son compère le cheval de Troie Trickbot étaient responsables de plus de 22 % des attaques de rançons en France. Les deux malwares étaient en tête de leur rapport “Global Threat Index”.
Alors qu’Emotet peut être diffusé par le biais de phishing contenant des pièces jointes ou des liens malveillants, les chercheurs obeserve nouvelle campagne qui inclut plus de 100 000 messages (principalement en anglais, allemand, espagnol et italien), contenant des pièces jointes Word malveillantes, des Zip ou des URL frauduleuses.
L’ANSSI avait publié en septembre un bulletin d’alerte sur la recrudescence d’Emotet en France. Observé pour la première fois en 2014 en tant que cheval de Troie bancaire, Emotet a évolué pour devenir un cheval de Troie modulaire. L’ANSSI indique que le malware peut récupérer les mots de passe stockés sur un système ainsi que sur plusieurs navigateurs (Internet Explorer, Mozilla Firefox, Google Chrome, Safari, Opera) et boîtes mail (Microsoft Outlook, Windows Mail, Mozilla Thunderbird, Hotmail, Yahoo! Mail et Gmail). Il peut également dérober la liste de contacts, le contenu et les pièces jointes attachées à des courriels. Enfin, il se propage au sein du réseau infecté en tirant parti de vulnérabilités SMB ainsi que des mots de passe récupérés.