L’histoire du malware Emotet est représentative de l’évolution de l’écosystème de la cybermalveillance. Parti d’un simple code malveillant qui a fait souche, il représente actuellement l’une des principales menaces sur la sécurité des SI. Voici son histoire.

Parti de rien, il devint un puissant seigneur du mal qui fit trembler les gouvernements et les grandes corporations de ce monde. Voici en résumé, stylisé à la manière des heroic fantasy, la genèse du distributeur de codes malveillants le plus craint actuellement : Emotet. Hélas, ce n’est pas de la fiction, mais une réalité dramatique pour de nombreuses entreprises et entités gouvernementales. À tel point que des avertissements gouvernementaux sont lancés pour prévenir les entreprises et organismes publics des attaques d’Emotet. Dernièrement, La Cybersecurity and Infrastructure Security Agency (CISA) du ministère américain de la Sécurité intérieure a lancé un avertissement concernant l’augmentation considérable de l’activité du gang derrière Emotet.

En France, pour sensibiliser les responsables de la sécurité, l’ANSSI vient de publier un rapport qui décortique l’histoire et le fonctionnement de ce cheval de Troie, devenu au fil des versions un malware polymorphe téléchargeur de codes malveillants. Il est issu d’une lignée de codes malveillants qu’il serait fastidieux de décrire ici, mais qui est bien détaillée dans le rapport de l’ANSSI pour ceux qui veulent plus de détails.

Un malware opéré par le groupe TA542 depuis la Russie

Disons lapidairement que le code d’origine émerge en 2014, après le démantèlement de l’infrastructure de GoZ par le FBI en mai 2014, sous forme de deux chevaux de Troie bancaire : Dirdex opéré par le groupe Evil Corp et Geodo opéré, exclusivement semble-t-il, par TA542. Bien que les connaissances à son sujet soient très limitées par rapport à celles relatives à Evil Corp, TA542 semble être un groupe cybercriminel d’origine russophone. D’après Trend Micro, il opérerait depuis le fuseau horaire UTC+10, qui inclut notamment la région de Vladivostok en Russie.

Observées pour la première fois en 2014 en tant que chevaux de Troie bancaires, les trois premières versions d’Emotet se sont limitées à cibler les clients de banques notamment allemandes, autrichiennes et suisses. Ces attaques avaient pour objectif d’effectuer des virements frauduleux automatiques depuis les comptes compromis de particuliers, clients de banques en ligne, dont les codes d’accès avaient été exfiltrés au moyen d’Emotet.

Modulaire et multifonction

À partir de 2015, Emotet a évolué pour devenir un cheval de Troie modulaire et multifonction. Ses différents modules actuels lui permettent de récupérer les mots de passe stockés sur un système ainsi que sur plusieurs navigateurs (Internet Explorer, Mozilla Firefox, Google Chrome, Safari, Opera) et boîtes courriel (Microsoft Outlook, Windows Mail, Mozilla Thunderbird, Hotmail, Yahoo! Mail et Gmail) ; de dérober la liste de contacts, le contenu et les pièces jointes attachées à des courriels ; et de se propager au sein du réseau infecté en exploitant les vulnérabilités SMB ainsi que les identifiants récupérés. Parmi ses modules, MailPassView et WebBrowserPassView sont des outils légitimes détournés par TA542.

Depuis 2017, Emotet n’est plus utilisé comme cheval de Troie bancaire (dont le module correspondant a été retiré), mais distribue des codes malveillants opérés par des groupes d’attaquants clients de TA542 au sein des systèmes d’information qu’il infecte.

Des vecteurs d’infection de plus en plus sophistiqués

Emotet est généralement distribué par courriel d’hameçonnage, via les botnets opérés par TA542. En 2018, environ 98 % des courriels de campagnes Emotet contenaient une URL conduisant au téléchargement d’un document piégé. De plus, environ 66 % usurpaient l’image d’une entité existante, du type DHL, PayPal ou encore UPS. Depuis 2019, les courriels d’hameçonnage contiennent plus majoritairement une pièce jointe malveillante du type Word, PDF ou encore ZIP, bien que des courriels contenant des URL existent toujours.

La sophistication des attaques s’est améliorée depuis 2018, date à partir de laquelle le groupe utilise des attaques ciblées exploitant des fils de discussion détournés. Une fois la boîte courriel d’un employé de l’entité victime (ou la boîte courriel générique de l’entité elle-même) compromise, Emotet exfiltre le contenu de certains de ses courriels. Sur la base de ces derniers, les attaquants construisent des courriels d’hameçonnage prenant la forme d’une réponse à une chaîne de courriels échangés entre l’employé et des partenaires de l’entité pour laquelle il travaille.

De l’usurpation d’identité…

Pour donner une apparence de continuité, l’objet du courriel d’hameçonnage est alors précédé d’un ou plusieurs « Re : », et le courriel lui-même contient l’historique d’une discussion, voire même des pièces jointes légitimes. Ces courriels sont envoyés à des contacts de la victime, et plus particulièrement aux tierces parties de l’entité (clients et prestataires notamment) ayant participé au fil de discussion originel, afin d’accroître leur crédibilité auprès des destinataires. À partir d’août 2020, la France (secteurs privé et public) a été la cible de campagnes d’hameçonnage Emotet exploitant cette technique de détournement des fils de discussion des courriels.

Outre cette technique, en 2020, TA542 construit également des courriels d’hameçonnage sur la base d’informations récupérées lors de la compromission de boîtes courriel, qu’il envoie aux listes de contact exfiltrées. Il n’hésite pas à usurper l’image d’entités, victimes préalables d’Emotet ou non (sociétés de transport, de télécommunication, institutions financières, etc.). Ces courriels peuvent contenir de fausses factures, de fausses informations de livraison ou encore de fausses offres d’emploi. Une telle campagne datant de juillet 2020 a distribué la chaîne d’infection Emotet-TrickBot-Ryuk/Conti.

… au chantage « sextorsion »…

Parmi les autres tactiques, le groupe exploite le thème du coronavirus en guise de leurre. Par exemple, en mars 2020, une campagne Emotet de ce type a touché le Japon à des fins de distribution de TrickBot en tant que seconde charge utile. Plus vicieux encore, TA542 cible des adresses de courriel professionnelles avec des spams de « sextorsion » visant à soutirer de l’argent aux employés destinataires, mais également à les forcer à distribuer Emotet au sein du SI de leur entreprise.

Ces courriels sont le plus souvent envoyés depuis l’infrastructure des attaquants sur la base d’adresses courriel expéditrices souvent typosquattées, même si des éditeurs indiquent qu’il est possible qu’ils soient envoyés depuis des boîtes courriel compromises.

… au rançongiciel

Plus rarement, Emotet peut également être distribué par le kit d’exploitation RIG, via des sites Internet compromis, mais également par SMS. En effet, en février 2020, des SMS ont été envoyés depuis des numéros de téléphone américains, usurpant l’identité de banques et alertant les destinataires de la clôture de leur compte bancaire. En cliquant sur le lien contenu dans le SMS, les destinataires étaient redirigés vers une page Internet imitant celle de la banque en question, et distribuant Emotet.

Les campagnes Emotet visent le plus souvent à distribuer une seconde charge utile. Une même campagne peut distribuer des charges utiles différentes en fonction de la victime, du type rançongiciel, cheval de Troie bancaire ou information stealer. Emotet peut également distribuer des charges de type rançongiciel comme lors des campagnes Nymaim, UmberCrypt et MegaCortex.