Fin août, le blog Wannath vous parlait du rançongiciel Emotet. Après la réactivation récente de son serveur de contrôle (C2), Emotet est retourné en croisade à travers une campagne internationale dont on vous révèle ici les contours.

Des courriels malveillants portant la signature d'Emotet ont été repérés à destination de l'Allemagne, du Royaume-Uni, de la Pologne et de l'Italie. La campagne de spam a également touché les États-Unis, ciblant à la fois les particuliers, les entreprises et les entités gouvernementales. Un macro dans un fichier Word en pièce détachée lance une commande PowerShell et WScript qui va télécharger le contenu du rançongiciel. Voici un exemple de macro (il en existe d’autres) :

Figure 1. Le pirate fait croire que le fichier ne peut être accessible que si on sort d’un certain mode « PROTECTED VIEW » fictif.

Des sites web compromis et le livre d’Edward Snowden

Les journalistes de BleepingComputer ont dressé une liste non exhaustive de sites compromis :

· customernoble.com - a cleaning company

· taxolabs.com

· www.mutlukadinlarakademisi.com - Turkish women's blog

· www.holyurbanhotel.com

· keikomimura.com

· charosjewellery.co.uk

· think1.com

· broadpeakdefense.com

· lecairtravels.com

· www.biyunhui.com

· nautcoins.com

Une large campagne utilise le récent livre d’Edward Snowden pour piéger les destinataires de phishing.

Par ailleurs, les experts ont pu détecter au total trois version distinctes d’Emotet qui diffèrent par leurs infrastructures séparées aves des clés RSA distinctes pour les communications. Comme toujours, n'ouvrez jamais de pièces jointes sans confirmation orale de la part de votre destinataire.