Microsoft alerte sur les arnaques pendant Noël

Microsoft alerte sur les arnaques pendant Noël

Le service de sécurité de Microsoft met en garde les utilisateurs de PC contre un dangereux flot de spam : peu avant Noël, les criminels sur Internet envoient de faux messages de vacances. La pièce jointe de l’e-mail contient un logiciel malveillant connu. 

Le cheval de Troie emotet est de retour : au moment de Noël, les criminels sur Internet profitent de l’ambiance festive pour diffuser le malware par le biais d’une campagne d’e-mail ciblée. Pour ce faire, les auteurs envoient des courriels avec des lignes d’objet telles que ‘menu des fêtes‘, ‘fête de Noël‘ ou ‘calendrier des fêtes 2019 à 2020“, prévient l’équipe de sécurité de Microsoft sur son compte Twitter. 

Les pièces jointes sont infectées par le virus Emotet, toute personne qui les ouvre sera invitée à activer les macros. Cela activera le programme et l’installera sur l’ordinateur. Le BSI a récemment décrit le cheval de Troie Emotet comme le logiciel malveillant le plus dangereux au monde. Il avait déjà causé des dommages considérables. 

Voyons comment fonctionne ce virus.

Cinq ans après sa découverte, il est devenu une plate-forme de diffusion de spam et de malware.

Identifié pour la première fois en 2014, ce cheval de Troie bancaire est devenu depuis lors une plate-forme de diffusion de spam et de malware. Il est notamment l’un des vecteurs de propagation du rançongiciel Ryuk.

Les premières versions reposaient sur un script mis en pièce jointe d’e-mails imitant des avis de paiement, des rappels de factures ou encore des notifications de suivi de colis.

Les sources d’infection se sont progressivement diversifiées. Notamment à travers l’utilisation des macros dans les logiciels de la suite Microsoft Office.

Le cas se présente actuellement. Emotet a recommencé à sévir, en s’appuyant sur des documents Word. Pour en consulter le contenu, les utilisateurs sont invités à… activer les macros.

Pour ne pas éveiller les soupçons de ses cibles, Emotet s’immisce dans des conversations qu’elles ont eues par le passé. De plus en plus souvent, il met le nom de la victime en objet.

Emotet : tout comme WannaCry

Emotet est aussi polymorphe. En d’autres termes, il peut changer sa représentation pour échapper aux détections basées sur les signatures.

Le registre Windows et le planificateur de tâches lui permettent d’établir une persistance sur les systèmes infectés.

Pour se propager sur des réseaux, il a recourt à plusieurs outils signés NirSoft :

  • NetPass, destiné à récupérer tous les mots de passe réseau pour la session Windows en cours
  • WebBrowserPassView, pour faire de même dans les principaux navigateurs web
  • Mail PassView, pour les clients de messagerie

Les données d’identification collectées par ce biais sont communiquées à un « énumérateur » qui les teste sur les ressources réseau. Et qui cherche, en parallèle, d’éventuels volumes accessibles en écriture sur SMB via les exploits DoublePulsar et EternalBlue (qu’utilisent aussi WannaCry et NotPetya).

La durée de vie de ces identifiants est d’environ une semaine, d’après Cisco Talos. Emotet les transmet à certaines machines infectées pour qu’elles envoient à leur tour du spam.

Faites donc attention aux mails que vous recevez et n’ouvrez pas les pièces jointes de mails dont vous n’êtes pas sûr(e) de l’identité de l’expéditeur.

Expert en Stratégie Digitale, développeur full stack web & mobile depuis plus de 10 ans, je suis passionné par les technologies numériques, l’innovation et l’entrepreneuriat.

Laisser un commentaire