Après s’être fait discret en 2020, à l’exception notable d’une forte activité en janvier, le malware Emotet a fait son grand retour en juillet en lançant une série d’attaques dans le monde entier. Il n’est pas surprenant qu’Emotet se soit fait oublier pendant plusieurs mois : ce mode de fonctionnement est tout à fait classique. Ce qui étonne finalement, c’est qu’il lui ait fallu si longtemps pour exploiter le chaos dans lequel la pandémie a plongé le monde.
Emotet : le retour
La mise en retrait d’Emotet au printemps a coïncidé avec le déferlement de la pandémie de COVID-19 sur le monde. Alors que de nouveaux acteurs sont apparus en masse et ont lancé une vague de spam et d’attaques de phishing sur le thème du COVID-19, Emotet a choisi de se faire discret. Nous ne savons pas si ses auteurs sont passés à côté de cette opportunité ou s’ils en ont simplement profité pour fourbir leurs armes (et leur code) en anticipant la vague épidémique suivante. Pour autant, Emotet est désormais bien là et a vu les choses en grand.
Le botnet, généralement précurseur d’attaques supplémentaires par des malwares et ransomwares, a envoyé une vague massive de malspam aux utilisateurs d’Outlook en juillet. Son ampleur était telle qu’elle a poussé Microsoft à émettre un avertissement le 17 juillet.
Les agences de sécurité française, japonaise et australienne ont quant à elle sonné l’alerte au début du mois de septembre. La France en particulier a atteint un niveau de panique particulièrement élevé : le ministère de l’Intérieur a bloqué la remise de l’ensemble des documents Word par email. Quelques semaines plus tard, ce sont l’Italie et les Pays-Bas qui ont émis à leur tour des alertes.
Microsoft a renouvelé son avertissement après l’émergence d’une nouvelle vague dont les emails étaient majoritairement rédigés en anglais, mais aussi dans des langues européennes. Les emails d’Emotet passant par Microsoft Outlook peuvent avoir des effets désastreux. En effet, une fois qu’un ordinateur est infecté, le virus récupère les identifiants et données qui sont ensuite revendus à d’autres groupes opérant des malwares. Leur objectif ? Lancer des attaques par ransomware.
Activité et techniques récentes d’Emotet
Comme de nombreux emails de malspam, les emails d’Emotet paraissent bien peu sophistiqués. Une bonne partie des échantillons capturés par Microsoft inclut du texte obsolète de la marque. Dans certains cas, ils contiennent même des pièces jointes Word qui semblent avoir été créées dans feu Windows 10 mobile. Cette erreur criante a d’ailleurs rapidement été corrigée par les hackers. Malgré tout, ces emails contiennent des URL et macros bénéficiant de stratégies d’obfuscation avancées.
Il s’agit d’une très mauvaise nouvelle pour les entreprises protégées par des filtres de messagerie basés sur la signature. Ce type de filtre peut en effet reconnaître le code des malwares connus, mais pas les techniques d’obfuscation et les virus polymorphes.
Le sandboxing est tout aussi inutile contre Emotet, qui reconnaît les machines virtuelles. Capable de comprendre qu’il se trouve dans un environnement virtuel, comme un bac à sable, il entre alors en dormance ou peut même altérer son code.
Une des caractéristiques d’Emotet réside dans sa capacité à dérober des identifiants. Lorsqu’il est téléchargé sur un ordinateur, Emotet déploie souvent des outils supplémentaires, notamment un scraper Outlook capable de s’emparer des adresses email, mais aussi des fils de conversation.
Toutes ces informations permettent aux hackers d’envoyer des emails de phishing passant pour des réponses à des conversations tout à fait légitimes. Ce détournement de conversations piège les destinataires, qui ne se rendent pas compte que l’expéditeur des emails n’est pas celui qu’il prétend être.
Les PDF sont encore utilisés, mais nous constatons actuellement un volume élevé de fichiers ZIP protégés contenant des documents Word dans lesquels se trouvent des URL et macro malveillantes. Environ 1 000 des instances capturées ont recours au détournement de conversations. L’exemple en français ci-dessous en est un. Le hacker répond à un fil en demandant un « devis urgent ».
L’exemple en anglais ci-dessous est un autre exemple de détournement de conversation. Le hacker n’essaie même pas de faire la conversation, mais répond au fil avec un fichier ZIP protégé par un mot de passe. Cette approche peut paraître minimaliste, mais la plupart des utilisateurs ne se méfieront pas d’une réponse directe à un email, d’autant plus si l’objet ou l’expéditeur apparent est important.
La plupart des échantillons capturés par Vade sont envoyés depuis des comptes piratés. Les emails d’Emotet en japonais sont ainsi envoyés depuis le Vietnam, l’Inde, le Brésil, l’Allemagne et les États-Unis. L’exemple de détournement ci-dessous présente un échange professionnel classique. Il est toutefois générique et n’inclut pas de détails précis ou d’informations spécifiques à la cible. Le hacker ne sait donc que peu de choses, voire rien, sur elle :
Bloquer le malware Emotet
Emotet est véritablement unique, mais il génère les mêmes anomalies que les autres malwares et c’est bien pour cette raison que Vade se concentre sur l’analyse du comportement des emails et des pièces jointes. Nous utilisons des règles heuristiques mises à jour quotidiennement par notre SOC. Dès que de nouvelles informations apparaissent, que ce soit via le filtre ou notre boucle de rétroaction, nous créons de nouvelles règles.
Vade analyse les emails, les URL et fichiers, ZIP, Word et PDF compris, en temps réel. Nous analysons également les signatures, mais l’évolution constante de la nature des virus comme Emotet fait de l’analyse comportementale une méthode de détection des malwares bien plus efficace.
Un document Word intégrant des macros malveillantes, par exemple, pourrait ne pas disposer d’une signature de malware reconnaissable. Toutefois, il présentera des anomalies que nous sommes en mesure de détecter. Il en va de même pour les PDF. Parmi ces anomalies, nous pouvons citer l’inclusion de fichiers exécutables et le recours excessif à des caractères spéciaux. Les caractères non latins, comme ceux des alphabets chinois et cyrillique (russe), constituent eux aussi des anomalies et sont éminemment suspects dans la plupart des scénarios.
L’obfuscation du code, même bien pensée, se dévoile également via des anomalies, comme le code superflu, aussi qualifié de « bruit » ou de « code mort ». L’analyste des menaces de Vade, Thomas Gendron, a rédigé une étude complète du malware qui révèle comment un des hackers d’Emotet a utilisé l’obfuscation du code pour cacher une commande Powershell dans une macro Word. Cette technique est très utilisée dans les attaques ayant lieu en ce moment. Vous pouvez consulter l’analyse complète à cette adresse.
Les fichiers protégés par mot de passe et contenant des documents malveillants figurent parmi les plus difficiles à bloquer pour la plupart des filtres. Bien que nous ne puissions pas analyser le contenu de tels fichiers, nous pouvons voir la liste des documents qu’ils contiennent, ce qui donne un indice.
Nous disposons de règles heuristiques pour les fichiers ZIP, mais aussi de règles spécifiques à Emotet. Ces règles sont adaptées à son comportement et liées notamment à la technique de compression de fichiers, aux noms des fichiers et de l’archive, et à la longueur et au format du mot de passe. Nos règles heuristiques pour ces indicateurs et d’autres identifient avec une grande précision les attaques d’Emotet et permettent de les bloquer.
De manière globale, Vade utilise 10 000 règles heuristiques pour identifier les malwares, le phishing, le spear phishing et le spam. Par ailleurs, le SOC de Vade recherche les adresses IP et URL connues pour être utilisées par Emotet et les ajoute au filtre chaque jour. Avec cette approche comportementale, nous sommes en mesure de bloquer les malwares sans connaître la charge utile, et dans certains cas, sans avoir à analyser le fichier.
Pour donner aux utilisateurs de Vade for Microsoft 365 une plus grande visibilité sur la menace qu’Emotet fait peser sur leurs entreprises et clients, Vade a créé un filtre dédié au sein de sa fonction Événements en cours. Tout email classé par les règles heuristiques de Vade comme lié à Emotet ou associé à une URL ou adresse IP connue pour être utilisée par Emotet sera répertorié dans le suivi des événements en cours.
Cette fonction assure les clients des MSP que ces derniers traitent en amont la menace posée par ce malware.
Pour en savoir plus sur la solution de lutte contre les malwares et ransomwares de Vade, cliquez ici.
