Les nouvelles attaques Emotet utilisent de faux leurres Windows Update

Les nouvelles attaques Emotet utilisent de faux leurres Windows Updates

Emotet diversifie son arsenal avec de nouveaux leurres pour inciter les utilisateurs à s’infecter.

Dans le paysage actuel de la cybersécurité, le botnet Emotet est l’une des plus grandes sources de malspam – un terme utilisé pour décrire les e-mails qui fournissent des pièces jointes contenant des logiciels malveillants.


Ces campagnes de malspam sont absolument cruciales pour les opérateurs Emotet.


Ils sont la base qui soutient le botnet, alimentant les nouvelles victimes vers la machine Emotet – une opération de cybercriminalité Malware-as-a-Service (MaaS) louée à d’autres groupes criminels.


Pour empêcher les entreprises de sécurité de rattraper et de marquer leurs e-mails comme «malveillants» ou «spam», le groupe Emotet change régulièrement la façon dont ces e-mails sont livrés et l’apparence des pièces jointes.


Les opérateurs Emotet modifient les lignes d’objet des e-mails, le texte dans le corps de l’e-mail, le type de pièce jointe, mais aussi le contenu de la pièce jointe, qui est aussi important que le reste de l’e-mail.


C’est parce que les utilisateurs qui reçoivent le malspam Emotet, en plus de lire l’e-mail et d’ouvrir le fichier, ils doivent encore autoriser le fichier à exécuter des scripts automatisés appelés «macros». Les macros Office ne s’exécutent qu’après que l’utilisateur a cliqué sur le bouton « Activer la modification » affiché dans un fichier Office.

Inciter les utilisateurs à activer l’édition est tout aussi important pour les opérateurs de logiciels malveillants que la conception de leurs modèles de courrier électronique, de leurs logiciels malveillants ou de l’infrastructure backend du botnet.

Au fil des ans, Emotet a développé une collection de documents Office piégés qui utilisent une grande variété de «leurres» pour convaincre les utilisateurs de cliquer sur le bouton «Activer l’édition».


Ceci comprend:


Documents affirmant qu’ils ont été compilés sur une plate-forme différente (par exemple, Windows 10 Mobile, Android ou iOS) et que l’utilisateur doit activer l’édition pour que le contenu apparaisse.

Documents affirmant qu’ils ont été compilés dans des versions antérieures d’Office et que l’utilisateur doit activer l’édition pour que le contenu apparaisse.

Documents prétendant être en mode protégé et demandant à l’utilisateur d’activer la modification. (Ironiquement, le mécanisme de la vue protégée est celui qui bloque les macros et affiche le bouton / restriction Activer la modification.)

Documents prétendant contenir du matériel sensible ou à distribution limitée qui n’est visible qu’une fois que l’utilisateur a activé la modification.

Documents montrant de faux assistants d’activation et affirmant que l’activation d’Office est terminée et que l’utilisateur n’a qu’à cliquer sur Activer la modification pour utiliser Office; et beaucoup plus.

Mais cette semaine, Emotet est arrivé de vacances récentes avec un nouveau leurre document.


Les pièces jointes envoyées dans les campagnes Emotet récentes affichent un message prétendant provenir du service Windows Update, indiquant aux utilisateurs que l’application Office doit être mise à jour. Naturellement, cela doit être fait en cliquant sur le bouton Activer la modification (n’appuyez pas dessus).

Selon une mise à jour du groupe Cryptolaemus, depuis hier, ces leurres Emotet ont été spammés en masse à des utilisateurs situés partout dans le monde.


Selon ce rapport, sur certains hôtes infectés, Emotet a installé le cheval de Troie TrickBot, confirmant un rapport ZDNet du début de la semaine selon lequel le botnet TrickBot a survécu à une récente tentative de retrait de Microsoft et de ses partenaires.


Ces documents piégés sont envoyés à partir d’e-mails avec des identités falsifiées, semblant provenir de connaissances et de partenaires commerciaux.


De plus, Emotet utilise souvent une technique appelée détournement de conversation, par laquelle il vole les fils de courrier électronique des hôtes infectés, s’insère dans le fil avec une réponse usurpant l’un des participants et ajoutant les documents Office piégés en pièces jointes.


La technique est difficile à maîtriser, en particulier parmi les utilisateurs qui travaillent quotidiennement avec des e-mails professionnels, et c’est pourquoi Emotet parvient très souvent à infecter régulièrement les réseaux d’entreprise ou gouvernementaux.


Dans ces cas, la formation et la sensibilisation sont le meilleur moyen de prévenir les attaques Emotet. Les utilisateurs qui travaillent régulièrement avec des e-mails doivent être informés du danger de l’activation de macros dans les documents, une fonctionnalité qui est très rarement utilisée à des fins légitimes.


Savoir à quoi ressemblent les documents typiques du leurre Emotet est également un bon début, car les utilisateurs pourront esquiver les astuces Emotet les plus courantes lorsqu’un de ces e-mails atterrit dans leur boîte de réception, même d’un correspondant connu.


Vous trouverez ci-dessous une liste des leurres de documents Emotet les plus populaires, partagés par les sociétés de sécurité et les chercheurs en sécurité sur Twitter. En outre, cet article comprend les leurres malspam les plus populaires d’aujourd’hui pour plusieurs des botnets de spam actuels, tels que Dridex, QakBot et autres.

Pour plus d’information >>

https://www.zdnet.com/article/new-emotet-attacks-use-fake-windows-update-lures/

Nous sommes présents sur les réseaux : LinkedIn, Twitter, Facebook, Instagram

Catégories :

Company

Consulting

Formation

Support

Blog

Solutions

Société

À propos

Carrières

Partenariats

Partenaire

Symantec

Fortinet

Rapid7

BeyondTrust


UNIDEES®

Conditions d’utilisation

Déclaration de confidentialité

Déclaration de sécurité