Le malware Emotet refait parler de lui

Écrit par Guillaume
Publié le : {{ dayjs(1637773242*1000).local().format("L").toString()}}
Suivez-nous

Démantelé en début d’année 2021 par une vaste opération des forces de l’ordre, Emotet est de retour au travers d’une nouvelle version… Plus dangereuse encore ?

De l’avis de nombreux experts en sécurité informatique, le malware Emotet a constitué la plus sérieuse menace depuis sa première apparition courant 2014, jusqu’à son démantèlement annoncé le 27 janvier dernier par Europol. Les forces de police avaient alors décidé d’agir après une recrudescence d’activité du malware au cours de l’automne 2020 et elles étaient parvenues à, non seulement enrayer sa progression, mais aussi le faire nettement refluer. Une réussite en trompe l’œil.

En effet, depuis quelques semaines, de plusieurs spécialistes ont souligné un regain d’activité du malware. Le groupe de chercheurs Cryptolaemus a notamment donné l’alerte via Twitter le 15 novembre dernier en évoquant une nouvelle version d’Emotet. Cryptolaemus précise que cette nouvelle version est notamment « transportée » par un autre malware bien connu, Trickbot. Une information confirmée par d’autres experts en sécurité comme GData et Advanced Intel qui donnent quelques précisions.

GData et Advanced Intel estiment effectivement que ce « nouvel Emotet » se montre plus efficace que son prédécesseur. Il exploite notamment le système de chiffrement HTTPS pour crypter le trafic réalisé entre les serveurs de contrôle du malware et les machines nouvellement infectées. Autrefois, il n’était question d’utiliser que le simple protocole HTTP. Crytpolaemus indique par ailleurs que le command buffer est plus complexe que sur la version précédente du malware : « Nous pouvons maintenant confirmer que le command buffer a été modifié. Il comporte à présent 7 commandes contre 3-4 sur les précédentes versions ».

À en croire Cryptolaemus, les premières vagues d’infection remonteraient déjà au mois de septembre 2021 et les chercheurs expliquent avoir observé d’importantes vagues de courriers électroniques suspects. Rappelons que la pièce jointe infectée ou le lien HTTP corrompu restent les moyens de diffusion privilégiés du malware. Une fois encore, pour éviter la contagion, le plus sûr moyen est de ne pas faire confiance aux annexes des emails que vous recevez et de bien regarder la nature d’un lien avant de cliquer dessus. Il convient d’être encore plus prudent avec le « nouvel Emotet » qui semble avoir déjà infecté de nombreuses machines : les chercheurs évoquent plus de 246 machines agissant comme serveurs de contrôle auprès de nombreuses autres infectées.