Un chercheur en cybersécurité confirme une nouvelle campagne Emotet en Italie : voici ce qu'il faut savoir sur le virus qui vole l'argent de votre compte bancaire.
Le chercheur en sécurité JAMESWT a annoncé dans un tweet il y a quelques heures qu'il a de nouveau intercepté le très dangereux trojan bancaire russe Emotet, un malware qui a déjà attaqué plusieurs comptes bancaires ces derniers mois. La campagne se déroule en Italie depuis quelques jours et est très dangereuse.
Le mécanisme d'infection est similaire aux attaques que nous avons déjà vues : il commence par un email de phishing provenant d'une adresse email réelle mais compromise, qui contient une pièce jointe contenant un script qui télécharge le virus depuis le botnet d'ordinateurs zombies Epoch 2. Des attaques similaires, utilisant la même technique, sont également en cours dans d'autres pays du monde que l'Italie, signe que les cybercriminels à l'origine de ces campagnes sont plus actifs que jamais ces derniers mois, après une brève interruption pendant l'été.
Emotet : comment ça marche
JAMESWT a montré quelques captures d'écran des messages électroniques d'où provient l'infection. Ils proviennent d'adresses apparemment réelles et légitimes, mais ils proviennent d'ordinateurs infectés et contiennent une pièce jointe Zip protégée par un mot de passe (et le mot de passe est inclus dans le corps du message).
Le texte du message, en bon italien et sans erreurs grammaticales, exploite la tension générée par le moment difficile que vivent les Italiens en raison de la pandémie de Covid-19. Le message montré par le chercheur, en fait, se lit comme suit : "Bonjour, je suis allé au laboratoire Jean-Paul I pour me renseigner sur le prélèvement : il faut être présent tôt le matin à 6h30, parce qu'ils ouvrent à 7h et la file d'attente est longue, je n'ai pas pu faire plus, je suis désolé. Je joins l'engagement des dépenses.
Le message, comme il est clair pour tout le monde, est bien étudié, basé sur des techniques d'ingénierie sociale et pourrait être crédible pour beaucoup des personnes qui le reçoivent, qui pourraient tomber dans le panneau et ouvrir le fichier zip. A l'intérieur du fichier zip se trouve un document Microsoft Word, avec un peu de texte en anglais (cette partie de l'attaque n'a pas été localisée pour l'Italie, apparemment), invitant l'utilisateur à mettre à jour Word.
En réalité, l'ouverture du fichier Word lance un script qui télécharge simplement le véritable virus à partir d'une liste de serveurs situés dans différents pays du monde.
Emotet : pourquoi il est dangereux
Emotet, également connu sous les noms de Geodo ou Mealybug, vise depuis sa création en 2014 à voler des millions d'identifiants bancaires d'utilisateurs peu méfiants qui, suite à l'infection, ont vu leur argent quitter leurs comptes bancaires sans explication apparente.
Ce logiciel malveillant est capable de voler les identifiants des comptes bancaires en ligne en espionnant l'utilisateur au moment où il les saisit et en recherchant des informations les concernant dans les fichiers informatiques. Une deuxième caractéristique dangereuse des dernières versions d'Emotet est qu'elle transforme l'ordinateur infecté en une machine zombie, insérée dans l'un des trois réseaux de zombies dont dispose le virus : Epoch 1, Epoch 2 et Epoch 3.
Emotet : comment se défendre
La recrudescence des attaques d'Emotet est désormais une constante avec l'automne et, en particulier, à l'approche de la période de Noël : cela s'était également produit en 2017, 2018, 2019 et ne pouvait manquer de se reproduire cette année. Emotet était récemment rentré en Italie à la fin du mois d'août et, un mois plus tard, à la fin du mois de septembre, même l'équipe de réponse aux incidents de sécurité informatique du gouvernement italien a émis une alerte spécifique à propos de ce virus.
Les méthodes d'attaque étant toujours très similaires, il est bon de faire attention à quelques éléments, mais fondamentaux. La première est de toujours éviter de télécharger des pièces jointes provenant d'adresses que nous ne connaissons pas ou qui, même si elles appartiennent à des personnes connues, n'auraient aucune raison de nous envoyer ce fichier.
La seconde est de ne pas cliquer sur les liens, que ce soit dans le courriel ou dans les fichiers que nous avons éventuellement téléchargés. Le troisième, mais il vaudrait mieux le mettre en premier, est que nous devrions toujours utiliser un antivirus de bonne qualité, constamment mis à jour avec les dernières définitions mensuelles des logiciels malveillants connus.