Flux RSS - La vie du site - Nouveautés et mises à jour
Assiste.com - Sécurité informatique - Vie privée sur le Web - Neutralité d'Internet Assiste.com - Sécurité informatique - Vie privée sur le Web - Neutralité d'Internet

Emotet - Cheval de Troie du groupe cybercriminel TA542

21.08.2020 - Juillet 2020 : L’ANSSI constate un ciblage d’entreprises et administrations françaises par Emotet, du groupe cybercriminel TA542. Emotet est désormais utilisé pour déposer d’autres codes malveillants (servir de cheval de Troie) susceptibles d’impacter fortement les victimes.

[14] 07/10/2020 - Depuis quelques jours, l’ANSSI constate un ciblage d’entreprises et administrations françaises par le code malveillant Emotet. Il convient d’y apporter une attention particulière car Emotet est désormais utilisé pour déposer d’autres codes malveillants (servir de cheval de Troie) susceptibles d’impacter fortement l’activité des victimes.

Emotet - Cheval de Troie du groupe cybercriminel TA542 - Caractéristiques du cheval de Troie Emotet

Observé pour la première fois mi-2014 en tant que virus bancaire (Banker), Emotet a évolué pour devenir juste le moyen de transport extrêmement évolué et technique, sans charge utile, du groupe cybercriminel TA542, loué à d'autres cybercriminels qui y ajoutent la/leurs charge(s) utile(s). Emotet est devenu un cheval de Troie au sens formel du terme, avec une remarquable modularité (modules TA542 et modules tiers).

Ses différents modules actuels lui permettent :

  • de récupérer les mots de passe stockés sur un système ainsi que sur plusieurs navigateurs (Internet Explorer, Mozilla Firefox, Google Chrome, Safari, Opera) et boîtes courriel (Microsoft Outlook, Windows Mail, Mozilla Thunderbird, Hotmail, Yahoo! Mail et Gmail)

  • de dérober la liste de contacts, les courriels et les pièces jointes attachées à des courriels

  • de se propager au sein du réseau infecté en tirant parti de [1] [2] [3] [4] [5] [6] [7] [8] [9] [10] [11] [12] [13] vulnérabilités SMB ainsi que des mots de passe récupérés.

Le code malveillant est distribué par le botnet (réseau d'appareils sous contrôle et coordonnés) éponyme (lui-même composé de trois groupements de serveurs différents Epoch 1, Epoch 2, Epoch 3 (y-à-t-il un jeu de mots avec Epoch - Époque informatique) opérés par le groupe cybercriminel TA542) au travers de campagnes massives de courriels d’hameçonnage, souvent parmi les plus volumineuses répertoriées. Ces courriels d’hameçonnage contiennent généralement des pièces jointes (« Attachment files ») Word ou PDF malveillantes, et plus rarement des URLs pointant vers des sites compromis ou vers des documents Word contenant des macros (Désactiver l'exécution automatique des macros dans Microsoft Office).

Ces campagnes d’attaques touchent tous types de secteurs d’activités à travers le monde.

Emotet - Cheval de Troie du groupe cybercriminel TA542 - Caractéristiques du cheval de Troie Emotet

Depuis 2017, Emotet n’est plus utilisé en tant que cheval de Troie bancaire (Banker) mais distribue, fréquemment au sein des systèmes d’information qu’il infecte, des codes malveillants opérés par des groupes d’attaquants qui sont clients de TA542. Par exemple, les virus bancaires Qbot, Trickbot, IcedID, GootKit, BokBot, Dridex et DoppelDridex peuvent être distribués en tant que charge utile, avec une prédominance en 2020 de Qbot et TrickBot.

En outre, ces derniers peuvent télécharger des rançongiciels (malveillance informatique avec demande de rançon) au sein du système d’information compromis. C’est par exemple le cas de TrickBot auquel il arrive de télécharger les rançongiciels Ryuk ou Conti.

Ainsi, la détection et le traitement au plus tôt d’un évènement de sécurité lié à Emotet peut prévenir de nombreux types d’attaques, dont celles par crypto-ransomware(chiffrement des fichiers et demande de rançon avant le déchiffrement).

Emotet - Cheval de Troie du groupe cybercriminel TA542 - Emotet : loader de codes malveillants tiers

Après une absence de cinq mois, Emotet a refait surface en juillet 2020. Depuis, nombre de ses campagnes d’hameçonnage exploitent une technique de détournement des fils de discussion des courriels (email thread hijacking technique).

Une fois la boîte courriel d’un employé de l’entité victime (ou la boîte courriel générique de l’entité elle-même) compromise, le code malveillant Emotet exfiltre les contenus complets de certains des courriels officiels que chaque employé victime a échangé légalement avec des interlocuteurs réels de l'entité victime (clients, partenanires, etc.). Sur la base de ces derniers, les attaquants produisent des courriels d’hameçonnage prenant la forme d’une réponse à une chaîne de courriels réels. L’objet illégitime du courriel d’hameçonnage est alors précédé d’un ou plusieurs « Re : » (réponse aux messages précédents), et le courriel lui-même contient l’historique d’une discussion, voire les messages précédents eux-mêmes et les pièces jointes (« Attachment files ») légitimes.

Ces courriels, d’apparence totalement légitime donnent l'impression de poursuivre une correspondance précédente avec des contacts de la victime (clients et prestataires notamment) ce qui accroît leur crédibilité auprès des destinataires.

Outre cette technique, TA542 construit également des courriels d’hameçonnage sur la base d’informations récupérées lors de la compromission des boîtes courriel, qu’il envoie aux listes de contact exfiltrées, ou usurpent plus simplement l’image d’entités, victimes préalables d’Emotet ou non (sociétés de transport, de télécommunication ou encore institutions financières).

Dans tous les cas, il apparaît que les boîtes courriel compromises ne sont pas utilisées pour envoyer des courriels d’hameçonnage mais que ces derniers sont envoyés depuis l’infrastructure des attaquants sur la base d’adresses courriel expéditrices souvent typosquattées (Typo - TypoSquatting).

La France représente une cible des campagnes récentes d’Emotet.

Emotet - Cheval de Troie du groupe cybercriminel TA542 - Recrudescence des campagnes d’attaque durant le second semestre 2020

Plusieurs flux existent contenant des indicateurs de compromission actualisés relatifs à Emotet, ce code faisant l’objet de nombreuses investigations dans les secteurs public et privé. Parmi ces flux, https://paste.cryptolaemus.com/ et https://feodotracker.abuse.ch/browse/ représentent des sources fiables qu’il est recommandé d’intégrer dans ses moyens de détection et de blocage.

Emotet - Cheval de Troie du groupe cybercriminel TA542 - Solution - Moyens de détection relatifs à Emotet
Emotet - Cheval de Troie du groupe cybercriminel TA542 - À noter aussi :
  • Sensibiliser les utilisateurs à ne pas activer les macros dans les pièces jointes et à être particulièrement attentifs aux courriels qu’ils reçoivent et réduire l’exécution des macros.

  • Limiter les accès Internet pour l’ensemble des agents à une liste blanche contrôlée (durcir la DMZ (informatique)).

  • Déconnecter les machines compromises du réseau sans en supprimer les données.

  • De manière générale, une suppression / un nettoyage par l’antivirus n’est pas une garantie suffisante. Seule la réinstallation de la machine permet d’assurer l’effacement de l’implant.

  • Transmettre à l’ANSSI les échantillons (.doc et .eml) à votre disposition pour analyse afin d’en déterminer des IOC (IOCs) - Indicators Of Compromise qui pourront être partagés. Ce point est essentiel, car l’infrastructure de l’attaquant évoluant fréquemment, l’accès aux échantillons récents est donc primordial. https://www.ssi.gouv.fr/en/contacts/

Emotet - Cheval de Troie du groupe cybercriminel TA542 - Recommandations
  • Cofense – avril 2019 (https://cofense.com/emotet-gang-switches-highly-customized-templates-utilizing-stolen-email-content-victims/)

  • Proofpoint – mail 2019 (https://www.proofpoint.com/us/threat-insight/post/threat-actor-profile-ta542-banker-malware-distribution-service)

  • Malwarebytes – 2019 (https://www.malwarebytes.com/emotet/)

  • JP CERT – décembre 2019 (https://www.jpcert.or.jp/english/at/2019/at190044.html)

  • US-CERT – janvier 2020 (https://us-cert.cisa.gov/ncas/alerts/TA18-201A)

  • Bleeping Computer – juillet 2020 (https://www.bleepingcomputer.com/news/security/emotet-malware-now-steals-your-email-attachments-to-attack-contacts/)

  • Proofpoint – août 2020 (https://www.proofpoint.com/us/blog/threat-insight/comprehensive-look-emotets-summer-2020-return)

Emotet - Cheval de Troie du groupe cybercriminel TA542 - Documentation
  1.  Le port TCP 445 en danger ! Faille SMB. (04/02/2004 - Forum Assiste.com) [Archive]
  2.  Bulletins de sécurité Microsoft de février 2010 (09/02/2018 - Forum Assiste.com) [Archive]
  3.  Fermer des ports pour Sécuriser Windows 2000 et XP (12/05/2004 - Forum Assiste.com) [Archive]
  4.  Bulletin de sécurité Microsoft MS10-046 - Critique. Des vulnérabilités dans le serveur SMB pourraient permettre l'exécution de code à distance. (12/08/2010 - Forum Assiste.com) [Archive]
  5.  Bulletins de sécurité Microsoft de janvier 2009. Deux vulnérabilités signalées confidentiellement et une vulnérabilité révélée publiquement concernant le protocole SMB (Server Message Block) de Microsoft. (14/01/2009 - Forum Assiste.com) [Archive]
  6.  Bulletins de sécurité Microsoft d'avril 2010. Des vulnérabilités dans le client SMB pourraient permettre l'exécution de code à distance. (14/04/2010 - Forum Assiste.com) [Archive]
  7.  Synthèse des Bulletins de sécurité Microsoft de juin 2011. Vulnérabilité critique dans le client SMB. (15/06/2011 - Forum Assiste.com) [Archive]
  8.  Exploit "Eternal Blue" de la NSA. Faille de sécurité SMB. (16/02/2017 - Forum Assiste.com) [Archive]
  9.  ALERTE - Multiples vulnérabilités dans Microsoft Windows XP et Windows Server 2003. Plusieurs codes d'exploitation ciblent le serveur SMB de Windows et permettent une exécution de code arbitraire à distance avec des privilèges élevés (noyau - Ring 0). (16/05/2017 - Forum Assiste.com) [Archive]
  10.  ALERTE : Vulnérabilité Windows XP et Server 2003 - Campagne de propagation de rançongiciels via une vulnérabilité SMB. (18/04/2017 - Forum Assiste.com) [Archive]
  11.  Désactiver des Services (19/07/2005 - Forum Assiste.com) [Archive]
  12.  Le port TCP 445 en danger ! Faille SMB. (24/06/2005 - Forum Assiste.com) [Archive]
  13.  ALERTE : Campagne de rançongiciels de type Petya. Limiter l'exposition du service SMB. (27/06/2017 - Forum Assiste.com) [Archive]
  14.  ALERTE : Recrudescence activité Emotet en France (07/09/2020 - Forum Assiste.com) [Archive]
Emotet - Cheval de Troie du groupe cybercriminel TA542 - Références

Dossier (collection) : Phishing - Hameçonnage

Phishing
Hameçonnage
Harponnage
Filoutage

Phishing ciblé
Hameçonnage ciblé
Harponnage ciblé
Target phishing
Hameçonnage personnalisé

Hameçonnage par téléphone
Phishing par téléphone
Phishing par VoiP
Phishing vocal
Hameçonnage vocal
Voice phishing
Vishing
Appel téléphonique frauduleux

Spear-phishing ou Spearphishing
Emotet - phishing ultra personnalisé par le groupe cybercriminel TA542

SMiShing - phishing par SMS

Pharming - phishing par redirection du traffic
Bulk phishing - phishing historique, en vrac

Ingénierie sociale

Phishing : la victime peut être tenue pour responsable

Reconnaître un site de phishing - cas tcamiot.fr

Toutes les fraudes 419 sont des cas de phishing


Dossier (collection) : Filtres du Web (Link checkers - Anti-phishing - Anti-malware)

Dossier : Filtres antiphishing antimalwares du Web
Dossier : Phishing

Les différents filtrages du Web

Reconnaître un site de phishing - cas tcamiot.fr

Dispositifs natifs
Microsoft SmartScreen
Google Safe Browsing
Comparatif SmartScreen vs Safe Browsing

Activation / Désativation des filtres natifs
Activer anti-phishing anti-malware natif IE 7
Activer anti-phishing anti-malware natif IE 8
Activer anti-phishing anti-malware natif IE 9
Activer anti-phishing anti-malware natif IE 10
Activer anti-phishing anti-malware natif IE 11
Activer anti-phishing anti-malware natif Firefox
Activer anti-phishing anti-malware natif Safari
Activer anti-phishing anti-malware natif Opera
Activer anti-phishing anti-malware natif Chrome

Dispositifs tiers
McAfee SiteAdvisor
Norton Safe Web
Norton Safe Web Lite (n'existe plus)
WOT
Trustwave SecureBrowsing
Disconnect
AdGuard - Extension pour navigateurs
Avira Browser Safety
Serveurs DNS filtrants

Avis en ligne (Web-Réputation) sur un site
Webutation
WoT Web of Trust
McAfee TrustedSource
McAfee SiteAdvisor
Norton Safe Web
Norton Safe Search
Norton Safe Web Lite
NSW
Google Safe Browsing
Google Transparence
WMTips
Alexa
WebStatsDomain
NoScript
hpHosts
Yandex
URLVoid
VirusTotal (VTZilla)
Dr.Web LinkChecker
Scamadviser
SaferPage.com
Website Antivirus
G-Rated
Wikipedia Trust Links
SiteJabber
Web Security Guard

Plug-in de Web-Réputation
Plug-in Trustwave SecureBrowsing
Plug-in WoT - Web of Trust
Plug-in Avast! WebRep
Plug-in AVG LinkScanner
Plug-in McAfee SiteAdvisor
Plug-in Norton Safe Web Lite
Plug-in Trend Micro TrendProtect
Plug-in Norton Safe Web
Plug-in Trend-Micro Web Addon
Plug-in Yandex Safe Browsing

Archives
Microsoft SmartScreen en 2004


Dossier (collection) : Le Droit et la Plainte

Où, quand, comment porter plainte

Risque juridique de complicité de l'Internaute
Signaler (à la PHAROS)
Porter plainte (où, comment, pour quoi...)
Escroquerie - Définition du délit d'escrquerie
Info escroquerie - 0811 02 02 17
La PHAROS - Exemple de signalement
Le Befti

Porter plainte lorsque vous êtes victime de :

Phishing
Forex
Robots de trading
Fraude 419 (par e-mail, fax, courrier postal, téléphone...)
Ingénierie sociale
Escroquerie à la fausse loterie Microsoft
Chaîne pyramidale
Chaine d'argent
Ventes pyramidales
Boule de neige
Pyramide de Ponzi
Vente multiniveau
CPM - Commercialisation à paliers multiples
CPM - ou « Multi-Level Marketing »
CPM - ou « MLM »
Jeu de l'avion
Cercles de dons
Rondes d'abondance
Roues d'abandance
Karus
Spam « MMF »
Spam « Make Money Fast »
Faux héritages
Fausses transactions commerciales
Utilisation frauduleuse de moyens de paiement
Escroqueries financières diverses

Les textes protégeant la vie privée et les données à caractère personnel

Droit - Charte sur la Publicité Ciblée et la Protection des internautes
Droit - Code Civil - Code des Postes et Telecommunications - Secret de la correspondance
Droit - Loi 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés
Droit - Directive européenne n°95/46/CE du 24 octobre 1995 (Texte fondateur)


Dossier (collection) : L'essentiel

Les bonnes attitudes : conseils essentiels
Comment je me fais avoir / je me fais infecter
Les 10 commandements de la sécurité sur l'Internet
Sauvegardes fichiers et images système

Avant d'entrer dans un site : réflexes essentiels
Analyses objectives du site, par des robots
Analyses subjectives du site, par des humains

Fausses alertes et escroqueries : l'essentiel
Alerte Virus dans mon ordinateur. Vrai ou Faux.

Choix d'un antivirus (obligatoire) : l'essentiel
Comparatif antivirus - en choisir un
Installer Malwarebytes Premium

Anticiper et prévenir : les gestes essentiels
Préparation de l'ordinateur, le 1er jour, la 1ère fois
Protéger le navigateur, la navigation et la vie privée
Calmer/bloquer la publicité sur les sites Web

Entretenir : les petits travaux essentiels
Mises à jour périodiques (Windows Update)
Mises à jour périodiques (hors Windows Update)
Nettoyage périodique - Décrassage - Réparations
Faire l'inventaire de son matériel et de ses logiciels
Vérifier l'état des disques et fichiers (CHKDSK)
Vérifier l'état des fichiers système (SFC)
Défragmenter les fichiers et disques
Défragmenter le Registre Windows

Vitesses - Accélérer : l'essentiel
Accélérer la vitesse de Windows
Accélérer la vitesse de la connexion Internet

Actions de décontamination : l'essentiel
Procédure gratuite : décontamination anti-malwares
Procédure gratuite : décontamination anti-virus
Risque juridique de complicité passive de l'Internaute

Emotet - Cheval de Troie du groupe cybercriminel TA542 - Ressources

Outils d'investigations


#Ailleurs sur le Web#