Alerte à toutes les entreprises et administrations : le cheval de Troie Emotet sévit de nouveau dans l’Hexagone. L’ANSSI, l’agence française de cybersécurité, vient de publier un bulletin pour prévenir les organisations de la recrudescence, depuis juillet dernier, de ce malware particulièrement nocif.
Opéré par le groupe de pirates Mummy Spider alias TA452, il arrive souvent par le biais d’une attaque de phishing. Il est ensuite capable de dérober les mots de passe, les contacts et les courriers électroniques, de se déplacer, ni vu ni connu, au sein d’un réseau local et, surtout, de déposer diverses charges utiles, en fonction du client du moment. En 2020, il s’agit principalement de Qbot et Trickbot, des chevaux de Troie bancaires qui sont parfois doublés d’un ransomware.
L’une des caractéristiques des récentes attaques observées en France est le détournement des fils de discussion (« email thread hijacking »), une technique particulièrement redoutable. Dès qu’Emotet a accès à une boîte email, il en exfiltre le contenu ce qui permet aux pirates de forger ensuite de faux e-mails prenant la forme d’une réponse à une chaîne de courriels échangés entre l’employé et ses collègues ou partenaires. Le but étant, évidemment, de récupérer des informations sensibles ou d’infecter d’autres boîtes e-mail.
Source : ANSSI
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
