“L’une des menaces les plus répandues actuellement”. It is the phase that will be used in 2020 in the cybersecurity branch of the Department of Internal Security for the Designer of the Malware Connu sous le nom d’Emotet. Après une longue absence, il est malheureusement de retour.
Identifié for the premiere fois en 2014 comme a cheval de Troie assez basique, Emotet s’est transformé en a malware redoutable capable of installing d’autres logiciels Malveilillants sur les PC infectés. In 2020, he was told that he was an infiltrator in the Minister of Justice of Québec, intensifying his actions against the French, Japanese and New Zealand governments. Après plusieurs mois d’absence, il est de retour pour vous jouer un mauvais tour.
Emotet a un nouveau tour dans son sac
Une des marks de fabrique du malware Emotet consiste à envoyer des emails malveillants qui semblent venir d’un contact connu en s’adressant au destinataire par son nom et en faisant semblant de répondre à une discussion précédente. Il incite les utilisateurs à cliquer sur des liens ou activer des macros (série d’instructions regroupées dans une sule commande/raccourci) dangereuses dans les documents Microsoft Office joints.
Afin d’échapper aux différents systèmes de sécurité, Emotet a une new method : joindre un document Word dans lequel on retrouve à la fin une énorme quantité de données superflues (une série de zéros par exemple). L’objectif est ici de joindre un fichier qui pèse plus de 500 Mo, ce qui est suffisamment lourd pour empêcher certaines solutions de sécurité d’analyser le content of the document.
A variant of the cette method, connue sous le nom de “remplissage binaire” or “pompage de fichier”, consiste à écrire du texte en blanc sur fond blanc pour qu’il ne soit pas visible. N’importe quel texte peut faire l’affaire, comme on peut le voir ci-dessus avec un extrait du roman Moby Dick d’Herman Melville.
Au-delà du poids du fichier, le texte ajouté par les pirates qui utilisent Emotet permet d’éviter d’être automatiquement écarté par les different solutions de sécurité. En effet, ces dernières marquent systématiquement les fichiers Microsoft Office qui ne content qu’une macro et une image. Le texte permet ainsi au fichier de passer entre les mailles du filet.
Une fois les fichiers ouverts, les documents Word content une image indiquant que le content n’est pas accessible, à moins que l’utilisateur ne clique sur le bouton “activer le content”. Effectuer cette action a pour conséquence d’annuler la valeur par defaut de Word qui deactivated les macros téléchargées depuis Internet.
Une fois exécutée, la macro force ator Office à télécharger un fichier .zip depuis un site web legit pirate. Lorsqu’il is decompressed, and a file DLL infected is installed. Ce dernier est une bibliothèque qui content du code et des données pouvant être utilisés simultanément par plusieurs programmes.
Decouvrez : Comment les hackers using ChatGPT pour vider votre compte bancaire
Après avoir infected la machine de la victime, le malware est en mesure de voler les mots de passe et autres données sensitives. Emotet peut ensuite copier les conversations emails reçues sur les machines infected and les utiliser pour envoyer des spams aux contacts des victims, qui seront infected à leur tour.
Le meilleur moyen de se prémunir de ces attaques est de ne jamais activer les macros dans un document reçu par email, à moins d’avoir contacté la personne qui vous l’a envoyé par un autre moyen de communication.
Trend Micro
