Ce qui fait le succès de toute action malveillante, c’est de ne pas se méfier. Bien que nous soyons tous conscients que nous ne devrions pas ouvrir les liens de courrier électronique d’un expéditeur inconnu, lorsque l’expéditeur est une organisation de confiance, nous nous sentons suffisamment en sécurité pour ne même pas considérer qu’il pourrait y avoir des actions néfastes qui y sont attachées. C’est le cas avec une nouvelle campagne Emotet qui déguise les e-mails comme provenant de l’IRS – mais ils cachent vraiment des logiciels malveillants à l’intérieur.
Qu’est-ce qu’un logiciel malveillant Emotet ?
Emotet est un logiciel malveillant qui infecte les ordinateurs en se cachant dans des e-mails malveillants. Le logiciel malveillant est caché dans les fichiers Microsoft Word et Excel. Lorsque ces fichiers sont ouverts, des utilisateurs peu méfiants activent sans le savoir les macros qui déclenchent le téléchargement du logiciel malveillant Emotet sur les ordinateurs des utilisateurs.
Le logiciel malveillant, une fois installé, vole les e-mails des utilisateurs et les stocke pour les utiliser lors d’attaques futures. Il envoie également plus de spams et installe d’autres logiciels malveillants qui pourraient conduire à une attaque de ransomware.
Mais encore une fois, pour réussir, le malware Emotet doit trouver des personnes sans méfiance ou un moyen sans méfiance de lancer les attaques.
Ransomware prétendant être IRS
Le malware Emotet a trouvé son moyen sans méfiance de lancer des attaques pendant la saison des impôts. Il est très facile de supposer que la lettre de l’Internal Revenue Service que vous consultez dans votre e-mail est réelle.
La société de sécurité Cofense a publié un rapport montrant les multiples campagnes de phishing déguisées en e-mails de l’IRS. Les destinataires sont amenés à croire que les e-mails contiennent leur déclaration de revenus, leur formulaire W-9 ou un autre document pertinent.
Les lettres contenues dans les e-mails et la ligne d’objet des e-mails peuvent différer, mais en fin de compte, le message global est qu’il s’agit d’un document important que vous attendiez. Les sujets ont été « IRS Tax Forms », « W-9 Incorrect Form Selection » et « INCOME TAX RETURN 2021 ».
Un exemple dirige les destinataires vers une pièce jointe W-9 et demande qu’elle soit remplie et renvoyée. Il offre gentiment des réponses à toutes les questions et un « e-mail en copie papier », qui ressemble à un oxymore.
Des fichiers zip ou des fichiers HTML sont joints aux e-mails. Ils reçoivent des e-mails sécurisés car ils sont protégés par un mot de passe. Cela conduit à supposer qu’il s’agit d’un groupe qui sait ce qu’il fait.
Puis encore, dans tests qui ont été effectués, les fichiers n’ont pas été analysés correctement par l’extracteur intégré de Windows. Et si le logiciel malveillant ne peut pas être téléchargé, l’e-mail n’aura pas beaucoup de poids. Les programmes tiers, cependant, n’ont pas de problème pour extraire les fichiers.
Dans un exemple d’e-mail se trouve un fichier Excel « W-9 form.xslm ». Une fois qu’il est ouvert par un utilisateur, il lui est demandé de cliquer sur le bouton « Activer l’édition » ou « Activer le contenu » pour voir le document. Lorsque vous cliquez sur le bouton, le micros télécharge et installe le malware Emotet qui attend sur les sites WordPress qui ont été piratés.
Des charges utiles supplémentaires seront téléchargées une fois le logiciel malveillant Emotet installé. Ces charges utiles ont souvent été Cobalt Strike. Un autre groupe de recherche, Cryptolaemus, a vu le cheval de Troie d’accès à distance SystemBC être abandonné par Emotet.
Peut-être quelque chose de similaire est ce qui est arrivé à mon mari et moi. Nous avons déposé notre déclaration il y a quelques années via un logiciel d’impôt en ligne, et nous avons été informés que quelqu’un avec nos noms, adresse et numéros de sécurité sociale avait déjà déposé notre déclaration. Aucun de nous n’avait initié une déclaration de revenus autre que celle-là. Nous avons dû sauter à travers des cerceaux pour convaincre le fisc de notre véritable identité.
Nous ne sommes plus dupes depuis et ne déposons plus en ligne. Une note au sage : l’IRS ne vous enverra pas d’e-mail. Il vous contactera par l’intermédiaire du service postal des États-Unis. Si vous pensez avoir été infecté, découvrez comment vérifier si votre PC contient des logiciels malveillants Emotet.
