Résumé
Emotet est considéré comme le logiciel malveillant le plus courant, mais aussi le plus destructeur et le plus coûteux à éliminer à l'heure actuelle (1). Il se propage principalement par le biais de courriels d'hameçonnage contenant un lien malveillant ou un document infecté. Une fois que les victimes téléchargent le fichier ou cliquent sur le lien, d'autres logiciels malveillants sont automatiquement téléchargés sur leur appareil et se multiplient ensuite au sein du réseau de l'entreprise.
Malgré son démantèlement massif en janvier 2021 grâce aux autorités policières et judiciaires internationales (1), Emotet continue de prospérer et de propager des logiciels malveillants grâce à des astuces plus sophistiquées. L'une de ces tactiques consiste à utiliser un fichier de raccourci Windows (.LNK) contenant des commandes PowerShell pour télécharger la charge utile d'Emotet sur l'appareil de la victime, que nous avons analysée dans notre dernier blog. L'auteur de la menace a fait cette adaptation en réponse à la protection VBA lancée par Microsoft.
En avril 2022, une nouvelle campagne Emotet abusant des fichiers .LNK zippés a été repérée dans la nature. Dans ce blog, nous analysons ce vecteur et montrons comment vous pouvez prévenir ces types de logiciels malveillants à l'aide de OPSWAT MetaDefender .
Chaîne d'infection Emotet
Les opérateurs du botnet Emotet commencent l'attaque par un courriel de spam contenant un fichier zip malveillant protégé par un mot de passe avec un fichier de lien de raccourci intégré (.LNK). Ils abusent du fichier de raccourci car il est difficile à distinguer. Le fichier est déguisé en fichier de document avec une icône et l'extension n'est pas affichée par défaut dans Windows.
Dès que les victimes extraient le fichier zip et exécutent le fichier .LNK, un script Microsoft VBScript (Visual Basic Script) nuisible est déposé dans le dossier temporaire de leur appareil.
Le VBScript déposé exécute et télécharge la charge utile Emotet à partir d'un serveur distant. Une fois le binaire téléchargé, il enregistre le fichier dans le répertoire temporaire de Windows et l'exécute à l'aide de regsvr32.exe. Une fois infecté, Emotet se duplique pour se propager à d'autres ordinateurs du réseau.
Comment prévenir Emotet et d'autres attaques avancées similaires ?
Les agences gouvernementales et les experts en cybersécurité du monde entier ont formulé de nombreuses recommandations et conseils pour aider les utilisateurs à reconnaître les campagnes sophistiquées d'Emotet et à s'en défendre (2) :
- N'ouvrez pas de pièces jointes douteuses ou ne cliquez pas sur des liens suspects dans le corps du message.
- Veillez à ce que vos employés soient suffisamment formés pour identifier les liens et les pièces jointes suspectes dans les courriers électroniques.
- Maintenez votre système d'exploitation, vos applications et vos logiciels de sécurité à jour.
Vous pouvez facilement protéger votre organisation de manière complète contre Emotet ainsi que contre d'autres menaces sophistiquées et insaisissables grâce à OPSWAT Email Gateway Security et OPSWAT MetaDefender Core. Notre technologie Deep CDR™ (Content Disarm and Reconstruction), leader sur le marché, neutralise les menaces connues et inconnues dissimulées dans les fichiers. Conformément à notre philosophie « zero-trust », nous partons du principe que tous les fichiers entrant dans votre réseau sont malveillants ; c'est pourquoi nous analysons, assainissons et reconstruisons chaque fichier avant qu'il n'atteigne vos utilisateurs. Tout contenu actif dissimulé dans les fichiers est neutralisé ou supprimé, garantissant ainsi un environnement sans menace pour votre organisation.
La menace actuelle d'Emotet est prévenue comme suit :
1.OPSWAT Email Gateway Security met en quarantaine les pièces jointes protégées par un mot de passe.
2) Pour télécharger la pièce jointe, les destinataires doivent fournir le mot de passe du fichier au système en quarantaine.
3.MetaDefender Core analyse le fichier à la recherche de logiciels malveillants connus à l'aide de notre solution de multiscanning appelée Metascan. Comme le montre le graphique ci-dessous, 11/16 moteurs ont détecté la menace avec succès.
4. MetaDefender Core la pièce jointe et nettoie de manière récursive chaque fichier imbriqué à l'aide du moteur Deep CDR™ Technology. Le résultat ci-dessous montre qu'un objet a été détecté et supprimé.
Au cours du processus de nettoyage, la technologie Deep CDR™ a remplacé la commande malveillante du fichier .LNK par le fichier dummy.txt afin de neutraliser la menace.
5.Email Gateway Security envoie l'e-mail aux utilisateurs avec une pièce jointe exempte de menace. Voici le résultat de l'analyse du fichier après assainissement. Aucune menace n'a été détectée.
6) Les utilisateurs peuvent maintenant décompresser la pièce jointe sur leur machine et générer le fichier LNK sans se soucier des problèmes de sécurité. Même si les utilisateurs ouvrent le fichier LNK, aucun logiciel malveillant ne sera téléchargé car la commande malveillante du fichier LNK est remplacée.
Découvrez-en davantage sur la technologie Deep CDR™ ou contactez-nous pour trouver les meilleures solutions de sécurité afin de protéger votre réseau d'entreprise et vos utilisateurs contre les cyberattaques dangereuses et complexes.
Référence
(1) CyberNews. 2022. 'World’s most dangerous malware' Emotet disrupted. [online] Available at: <https://cybernews.com/news/worlds-most-dangerous-malware-emotet-disrupted>; [Accessed 9 June 2022].
(2) Ipa.go.jp. 2022. 「Emotet(エモテット)」と呼ばれるウイルスへの感染を狙うメールについて:IPA 独立行政法人 情報処理推進機構. [online] Available at: <https://www.ipa.go.jp/security/announce/20191202.html#L20%3E>; [Accessed 8 June 2022].
