Phishing

Le groupe Emotet, qui s'était accordé une petite pause de quelques mois, est de retour sur le devant de la scène cyber, et notamment en France où la Chambre des Notaires de Paris est l'instrument d'une campagne de phishing.

Emotet n'est pas mort. Pire, il a repris du service et poursuit son évolution, après avoir été, depuis 2014, un simple cheval de Troie bancaire, puis un botnet ou encore une infrastructure de diffusion de contenu. Et le démantèlement d'Emotet entrepris par les autorités internationales en début d'année dernière n'aura pas eu raison de lui. Il est bien de retour, via des campagnes de spams. L'une d'elles consiste, pour les pirates, à se faire passer pour la Chambre des Notaires de Paris.

Emotet a bien repris du poil de la bête, et mise toujours sur le phishing

Par le biais de cette campagne de phishing, révélée par les chercheurs de Proofpoint, le groupe Emotet se fait passer pour la Chambre des Notaires de Paris et pousse le destinataire de l'e-mail à télécharger un document inséré en pièce jointe. Emotet cible divers pays comme la France, les États-Unis, le Royaume-Uni, le Japon, l'Allemagne, l'Italie, le Mexique et le Brésil.

Pour marquer son retour au premier plan, Emotet (plus connu sous le nom de TA542) a testé différentes techniques, comme le vol des informations de cartes de crédit sur Google Chrome, grâce à des campagnes de spam qui incitent les utilisateurs à cliquer et ouvrir des fichiers et liens infectés.

Un e-mail frauduleux tiré de la dernière campagne d'Emotet ciblant la Chambre des Notaires de Paris (© Proofpoint)
Un e-mail frauduleux tiré de la dernière campagne d'Emotet ciblant la Chambre des Notaires de Paris (© Proofpoint)

Après plusieurs mois d'inactivité, Emotet est donc réapparu, avec une augmentation significative des tentatives d'infection via des campagnes de spams, identifiées par plusieurs entreprises spécialisées dans la cybersécurité.

Emotet a changé de mode opératoire

Infoblox nous explique que le mode opératoire d'Emotet a changé. Si les autorités avaient pu démanteler le groupe dans un premier temps, c'est parce que l'infrastructure utilisée était détenue par les attaquants. Les forces de l'ordre avaient alors pu les identifier et les arrêter. « Désormais, ils s'appuient sur des sites légitimes, ce qui rend leur réseau et infrastructure beaucoup plus difficiles à détecter et à stopper », explique Laurent Rousseau, Solutions Architect Manager France chez Infoblox.

La France fait aujourd'hui partie des pays privilégiés pour l'hébergement des serveurs de Commande & Contrôle des botnets Emotet.

Emotet se diffuse auprès de ses victimes par e-mail principalement, avec des fichiers attachés, en majorité au format Excel, avec des macros XML. « Ces macros, même si Microsoft a recommandé leur désactivation début 2022, sont toujours une menace avérée, car beaucoup d'organisations ne mettent pas à jour régulièrement les applicatifs MS Office, car dans tous les cas, l'utilisation de ces macros reste configurable par l'utilisateur ».