Après une longue absence, Emotet, le virus qui a donné le plus de fil à retordre à la branche cybersécurité, est malheureusement de retour !
Il est apparu pour la première fois en 2014 comme simple cheval de Troie. Cependant, Emotet a vite évolué en un malware dangereux ayant la capacité d'installer d'autres logiciels malveillants sur des PC déjà infectés. En 2020, ce malware a pu s'infiltrer dans le ministère de la Justice du Québec. Ensuite, il a multiplié des attaques destinées aux gouvernements français, japonais et néozélandais. Après plusieurs mois d’absence, Emotet est bien de retour en 2023.
Emotet : de retour pour nous jouer un mauvais tour
La technique du malware d'Emotet est toute simple. En gros, elle consiste à envoyer des mails malveillants sous le nom d’un expéditeur célèbre, tout en s’adressant au destinataire par son nom. Suite à ça, le virus incite les victimes à cliquer sur des liens afin d'activer des macros (série d’instructions regroupées dans une seule commande / raccourci).
Comment Emotet réussi à esquiver la sécurité ?
Afin d'esquiver les radars des systèmes de sécurité, Emotet a élaboré une méthode propre à lui. En effet, il joint un document Word dans lequel on retrouve énormément de données superflues (plein de chiffres par exemple). Ce n'est pas tout, les fichiers qu'il joint pèsent plus de 500 Mo, ce qui est assez lourd afin d'esquiver les analyse de sécurité.
Le document Word est piégé grâce à une méthode connue sous le nom de « remplissage binaire » ou bien « pompage de fichier ». Cette technique consiste à rédiger un texte blanc sur un fond blanc dans le but de passer inaperçu.
En plus du poids du fichier qui permet déjà de passer au-dessus de la barrière de sécurité, le texte que les hackers ajoutent en utilisant Emotet se dote d'une capacité permettant de passer inaperçu par les différentes solutions de sécurité.
Lorsque vous ouvrez le fichier, le document Word se lance sous un panneau qui indique que le contenu n’est pas accessible, à moins que vous ne cliquiez sur le bouton « activer le contenu ». Le fait de cliquer sur ce bouton annulera automatiquement la valeur par défaut de Word, qui a pour conséquence d'activer les macros.
Par la suite, les macros se serviront d'Office pour télécharger une extension zip depuis un site web non sécurisé. Dès que l'extension Rar est décompressé, un fichier DLL infecté est installé. Ce fichier est une sorte de bibliothèque qui renferme des données et du code qui peuvent être utilisés par différents programmes.
Les conséquences de ce virus
Une fois que la machine est infectée, Emotet aura accès à tous vos mots de passe et autres données sensibles. De plus, le malware pourra même se servir des conversations emails en les utilisant pour envoyer des spams à vos contacts, afin de les piéger eux aussi. La meilleure astuce pour se tenir loin de ces attaques est de ne jamais activer les macros dans un document reçu par email.