Emotet

Description de Emotet

cheval de Troie emotet Emotet a commencé en tant que cheval de Troie bancaire il y a environ cinq ans, mais est devenu beaucoup plus. De nos jours, il est devenu l'un des botnets et des compte-gouttes de logiciels malveillants les plus dangereux au monde. Pour monétiser pleinement les attaques, Emotet abandonne souvent de nouveaux chevaux de Troie bancaires, des collecteurs d'e-mails, des mécanismes d'auto-propagation, des voleurs d'informations et même des ransomwares.

Les chercheurs en sécurité ont noté que les acteurs de la menace derrière Emotet ont pris des vacances d'été, à partir de juin 2019, au cours desquelles même les activités de commandement et de contrôle (C2) ont été interrompues. Cependant, alors que les mois d'été commençaient à se terminer, les chercheurs en sécurité ont commencé à voir une augmentation de l'activité de l'infrastructure C2 d'Emotet. Au 16 septembre 2019, Emotet est déjà à pleine vitesse avec une campagne de spam revigorée, reposant sur l'ingénierie sociale.

Emotet cible les utilisateurs d'ordinateurs en attirant les campagnes d'e-mails de spam

L'un des moyens les plus ingénieux et les plus menaçants par lesquels les victimes infectées par Emotet étaient le contenu de courrier électronique volé. Le malware balayerait la boîte de réception d'une victime et copierait les conversations existantes, qu'il utilisera ensuite dans ses propres courriels. Emotet citera les corps de vrais messages dans une "réponse" au courrier électronique non lu d'une victime, dans le but de les inciter à ouvrir une pièce jointe contenant des logiciels malveillants, généralement sous la forme d'un document Microsoft Word.

Il ne faut pas beaucoup d'imagination pour voir comment quelqu'un qui attend une réponse à une conversation en cours pourrait être dupe de cette manière. En outre, en imitant les conversations par e-mail existantes, y compris le contenu authentique des e-mails et les en-têtes de sujet, les messages deviennent beaucoup plus aléatoires et difficiles à filtrer par les systèmes anti-spam.

Ce qui est intéressant, c'est qu'Emotet n'utilise pas l'e-mail dont il a volé le contenu pour l'envoyer à une victime potentielle. Au lieu de cela, il envoie la conversation levée à un autre bot du réseau, qui envoie ensuite l'e-mail à partir d'un emplacement entièrement différent, en utilisant un serveur SMTP sortant complètement séparé.

Selon des chercheurs en sécurité, Emotet a utilisé des conversations électroniques volées dans environ 8,5% des messages d'attaque avant sa pause estivale. Cependant, depuis la fin des vacances, cette tactique est devenue plus importante, représentant près du quart du trafic de messagerie sortant d'Emotet.

Cybercrooks utilise Emotet pour voler des données personnelles

Les outils à la disposition des cybercriminels qui cherchent à voler des informations personnelles sur des ordinateurs sont pratiquement illimités. Il se trouve qu'Emotet est un type de menace de logiciel malveillant très efficace pour tirer parti d'une manière de lancer des campagnes de courrier électronique de spam de masse qui propage des logiciels malveillants conçus pour voler des données à un utilisateur d'ordinateur sans méfiance. La façon dont Emotet fonctionne consiste à ouvrir une porte dérobée pour d'autres menaces informatiques à haut risque, telles que le cheval de Troie Dridex, qui est spécialement conçu pour voler des données à un utilisateur d'ordinateur à l'aide de techniques de phishing agressives.

Lorsqu'il est utilisé par le bon type de pirate ou de cybercrook, Emotet peut être utilisé de manière à infiltrer un ordinateur pour charger et installer plusieurs menaces de logiciels malveillants. Même ainsi, les menaces supplémentaires installées peuvent être plus dangereuses lorsqu'elles peuvent se connecter à des serveurs de commande et de contrôle (C&C) pour télécharger des instructions à exécuter sur le système infecté.

Les effets d'Emotet ne doivent jamais être pris à la légère

Dans tous les cas de menaces de logiciels malveillants d'une portée aussi importante qu'Emotet, les utilisateurs d'ordinateurs doivent prendre les précautions nécessaires pour empêcher une telle attaque. D'un autre côté, ceux qui ont été attaqués par Emotet voudront trouver les ressources nécessaires pour détecter et éliminer la menace en toute sécurité. Si l'on permet à Emotet de fonctionner sur un ordinateur pendant une longue période de temps, le risque de vol de données exponentiellement augmente.

Les utilisateurs d'ordinateurs qui pourraient retarder l'élimination d'Emotet ou prendre les précautions appropriées mettront en danger leurs données personnelles stockées sur leur PC, ce qui pourrait entraîner de graves problèmes comme le vol d'identité. De plus, Emotet est une menace difficile à détecter, qui est principalement un processus effectué par une ressource ou une application antimalware mise à jour.

À tout moment, les utilisateurs d'ordinateurs doivent faire preuve de prudence lorsqu'ils ouvrent des e-mails avec des pièces jointes, en particulier ceux qui contiennent des pièces jointes sous forme de documents Microsoft Word, qui est connu pour être une méthode qu'Emotet utilise pour propager des logiciels malveillants.

Le retour d'Emotet

À un moment donné en 2019, les serveurs de commande et de contrôle d'Emotet étaient fermés, laissant les systèmes infectés par la menace libres d'être sous le contrôle des auteurs de Emotet. Cependant, peu de temps après la fermeture des serveurs C&C, Emotet est revenu d'entre les morts où les pirates ont non seulement pris le contrôle d'Emotet, mais ils utilisent des sites Web légitimes pour propager la menace via des campagnes de spam en piratant d'abord les sites.

Les développeurs d'Emotet auraient ciblé environ 66 000 adresses e-mail pour plus de 30 000 noms de domaine, bon nombre de ces domaines appartenant à des sites légitimes qui ont été piratés. Certains des sites légitimes attaqués par les créateurs d'Emotet sont les suivants:

  • biyunhui [.] com
  • broadpeakdefense [.] com
  • charosjewellery [.] co.uk
  • customernoble [.] com
  • Holyurbanhotel [.] com
  • keikomimura [.] com
  • lecairtravels [.] com
  • mutlukadinlarakademisi [.] com
  • nautcoins [.] com
  • taxolabs [.] com
  • think1 [.] com

Fondamentalement, nous assisterons à une augmentation des infections de logiciels malveillants au fil du temps. Comme l'ont noté des chercheurs de Cisco Talos: «Lorsqu'un groupe de menaces se tait, il est peu probable qu'il disparaisse pour toujours», expliquant: «Au contraire, cela ouvre la possibilité à un groupe de menaces de revenir avec de nouveaux IOC, tactiques, techniques et procédures ou de nouvelles variantes de logiciels malveillants qui peuvent éviter la détection existante. "

Informations techniques

Captures d’écran & d’autres images

Emotet Image 1 Emotet Image 2

Détails des fichiers système

Emotet crée le(s) fichier(s) suivant(s):
# Nom de fichier Taille MD5 Nombre de détection
1 %WINDIR%\syswow64\licensefwdr.exe\licensefwdr.exe 131,072 3391006372b212ba0be34bf9cc47bb15 60
2 c:\users\vtc\downloads\8e8cmlbo6fx_lxfm3xki.exe 582,656 0d87835af614586f70e39e2dfdba1953 41
3 %WINDIR%\system32\guidsdefine.exe\guidsdefine.exe 231,424 8af726850d90d8897096429c8f677fb9 34
4 c:\users\vtc\downloads\xppvz6oh.exe 156,672 e7a1127484bbd79f4de0460ee92836fb 14
5 c:\windows\syswow64\ni6tj3f0c.exe 143,360 865eba9b4ee8e93f500232eae85899f9 14
6 c:\users\vtc\downloads\fcuthenucs_qzfm9unm.exe 230,400 fc620fb26d06a3f15e97fa438e47b4e3 13
7 c:\windows\syswow64\sw1bo.exe 139,264 6957fc973e45d6362c9508297840332c 13
8 c:\users\vtc\downloads\hh_u6zt3e3q_vmytcj.exe 239,616 0c12b6e792d5e395f1d0e8e00f2a906b 9
9 c:\users\vtc\downloads\8lqwejk6.exe 159,744 9ab8c51587e3a46950576c545d917e5f 8
10 c:\windows\syswow64\guidsripple.exe 143,360 954d6e95ef173331841a54b2bacbcd28 8
11 c:\users\vtc\downloads\z7w2_qj.exe 348,160 59dec5b309f882bd3b7b7f4db9de8810 7
12 c:\windows\syswow64\ripplepolic.exe 155,648 d3fe0e7a94cf8a04435ecd85d1a85227 7
13 c:\users\mark\211.exe 139,264 831bbafd3a5596994e3e5407e86a6ab0 6
14 c:\windows\syswow64\s9nevcf77pvpbcahes.exe 139,264 9f6d496199d712df75fea0d4f65a774d 6
15 c:\users\vtc\downloads\9tadwtpw5estit.exe 159,744 b25ec6e225cf6247dcb3810470ae86b7 5
16 C:\ProgramData\სკუმბრია.exe 782,336 35c973fee6e0f6fd1c9486d25d041c83 5
17 C:\ProgramData\ↇↂↂↂ自転車выпLXXX;ↇↂↂↂ;ЧыПبايسکل.exe 548,864 9d7b1ffdd0d6e8e43032b16dabcb52b4 5
18 c:\users\vtc\downloads\fu_nid7mlnsu.exe 151,552 fecc9b87f6adde022e2e7540469d9668 4
19 c:\users\vtc\downloads\td5g1cst.exe 223,232 d42dbba27dc711e5b4a3f4bf83967049 4
20 c:\users\vtc\downloads\cvedvfdyaj.exe 232,960 e60048bfaab06dcab844454c33ad5491 4
21 c:\users\vtc\downloads\aizz7dugmz_ddw.exe 241,152 149f8faf3bb1c3cbd1207c133715a480 2
22 c:\users\vtc\downloads\h7kg8jsthbc.exe 224,768 c6c70da245a63f7ae7052ebac3fb76c6 2
23 c:\users\vtc\downloads\troj_generic_ec086af0e56b97ea6b427f02f90def0897bb0fe578eed1d48bf33049e4c9d439.exe 403,456 536d98819ef25d5452ef802d4541bb46 1
24 c:\users\julius\downloads\bc117e6ae77ef72ad0131990943d7a8b3570f0eb9fbe9a7a41e7e43711e5f763.crdownload 409,600 83e70065bf06162895e73ce43f4fdb19 1
25 c:\users\julius\downloads\eb7f8d53312376570fbd1385b45d1ff3fab6faadfba6c3a3a6c9d30c5e31bb4d.crdownload 339,968 1f4a1df52756bd6ea855b47f039836ee 1
26 c:\users\julius\downloads\1be6989616522d6ae9b3c301e5f51f0ac0313dfc8497958c616a307cd09657fc.crdownload 339,968 991bd07e70c478affb777a3728942591 1
27 c:\users\julius\downloads\aba5311be7e0dfbfefdd1f545a701b4e81c9ad8790af6f58f827e6b54f3454e5.crdownload 409,600 a4d00e6314149af840bbbf7a70bf1170 1
28 c:\users\julius\downloads\a9a90901ee38e8a232e253f00b9fc9c0f0f58620ef6b7692e6dc7342a7317c1d.crdownload 409,600 6f68c6733db5e38ba4cd82d12e683696 1
29 C:\Windows\11987416.exe N/A
30 C:\Windows\System32\46615275.exe N/A
31 C:\Windows\System32\shedaudio.exe N/A
32 C:\Windows\SysWOW64\f9jwqSbS.exe N/A
33 C:\Users\\AppData \Local\Microsoft\Windows\shedaudio.exe N/A
34 C:\Users\\AppData\Roaming\Macromedia\Flash Player\macromedia\bin\flashplayer.exe N/A
Plus de fichiers

Détails de registre

Emotet crée les entrées du registre suivantes:
Regexp file mask
%APPDATA%\microsoft\vhmjoh\vhmjo.exe
%APPDATA%\SetingSync64.exe
%WINDIR%\System32\sysnet.exe
%WINDIR%\SysWOW64\HawaiiAppointment.exe
%WINDIR%\SysWOW64\nvapp.exe
%WINDIR%\SysWOW64\policsource.exe
%WINDIR%\SysWOW64\slsbthpan.exe

Posts relatifs

Exclusion de responsabilité pour le site

Enigmasoftware.com n'est pas associé, affilié, parrainé ou détenu par les créateurs de logiciels malveillants ou les distributeurs mentionnés dans cet article. Cet article ne doit PAS être confondu ni confondu avec une quelconque association avec la promotion ou l'approbation de logiciels malveillants. Notre intention est de fournir des informations qui informeront les utilisateurs d'ordinateurs sur la façon de détecter et, finalement, de supprimer les logiciels malveillants de leur ordinateur à l'aide de SpyHunter et/ou des instructions de suppression manuelle fournies dans cet article.

Cet article est fourni "tel quel" et ne doit être utilisé qu'à des fins d'information pédagogique. En suivant les instructions de cet article, vous acceptez d'être lié par la clause de non-responsabilité. Nous ne garantissons pas que cet article vous aidera à supprimer complètement les menaces de logiciels malveillants sur votre ordinateur. Les logiciels espions changent régulièrement; par conséquent, il est difficile de nettoyer complètement une machine infectée par des moyens manuels.

Laisser une Réponse

Veuillez ne pas utiliser ce système de commentaires pour des questions de soutien ou de facturation. Pour les demandes d'assistance technique de SpyHunter, veuillez contacter directement notre équipe d'assistance technique en ouvrant un ticket d'assistance via votre SpyHunter. Pour des problèmes de facturation, veuillez consulter notre page «Questions de facturation ou problèmes?". Pour des renseignements généraux (plaintes, juridique, presse, marketing, droit d’auteur), visitez notre page «Questions et commentaires».