Pourquoi le nouvel hameçonnage Emotet est-il aussi efficace ?

Le CERT-FR signale une recrudescence d’activité Emotet en France dans son bulletin d’alerte 2020-ALE-019. Il s’agit d’une nouvelle forme d’attaque : le détournement des fils de discussion des courriels (email thread hijacking technique).

Cette nouvelle forme d’attaque est particulièrement vicieuse, et donc efficace. Pour l’illustrer, sauriez-vous déterminer quels sont les messages illégitimes dans ces extraits ? Précisons que vous connaissez à chaque fois l’expéditeur, et que vous êtes partie prenante du sujet évoqué :

Mail n°1 :

Bonjour,

Ci-joint le projet de mailing (PDF), mais j’ai des interrogations et besoin de valider mes modifications.

Mail n°2 :

Travailler nos pitchs respectifs, et fournir un support A4 à chaque autre membre de l’association…
Le document crypté en fichier zip est joint à la lettre: rapport du 16 octobre 2020.zip

Mot de passe: OjsIVKJMzK

Chère équipe, (…)

Voici, pour vous permettre de me passer sur le grill de la critique constructive, un « vieux » support A4 que je viens d’upgrader : (…)

Mail n°3 :

Re,

Vous trouverez en PJ, le trombinoscope réalisé avec les éléments que j’ai pu récupérer.

Je vous demanderais de bien vouloir compléter, corriger et/ou valider votre fiche.

Mail n°4 :

Bonjour,

Veuillez trouver ci-joint les travaux réalisés par la commission.

Il nous reste à finaliser : (…)

 

Verdict : tous ces messages ont vraiment été rédigés et envoyés, mais aucun n’est légitime. Autrement dit, la pièce jointe contenait à chaque fois le virus Emotet.

Alors, comment cela est-il possible ?

Après une analyse de plusieurs échantillons, il m’est apparu que ces messages sont d’anciennes correspondances : ces messages ont réellement été envoyés, plus de 2 ans auparavant.

Ceci permet de retracer le mode opératoire mis en place pour cette nouvelle forme d’attaque :

  1. Une boite mail est compromise. Le pirate, ou du moins un robot à sa solde, récupère l’ensemble des messages.
  2. Après analyse, certains de ces emails sont « recyclés ». Les critères de sélection sont probablement : les messages ayant plusieurs destinataires et une pièce jointe attachée.
  3. Des nouveaux messages emails sont créés à partir du message recyclé : le nom de l’expéditeur initial est conservé, et chaque destinataire reçoit le message individuellement (il est seul destinataire). Un document piégé (macro Word ou Excel) est ajouté. Parfois, ce document est inséré dans un fichier ZIP avec mot de passe, ce qui empêche tout scan antivirus.
  4. Ces faux mails sont envoyés depuis d’autres boites mail compromises. Pour déjouer les filtres antispam, seul le nom de l’expéditeur est usurpé (et pas son adresse email), le message provient bien de la nouvelle boite mail compromise. A l’heure actuelle, c’est probablement d’ailleurs le seul moyen de déjouer le piège : l’adresse email réelle d’expédition (champ « DE ») n’est pas celle du nom affiché.

Autrement dit, et contrairement aux apparences, si vous recevez un mail piégé de la part d’un interlocuteur connu, cela ne signifie pas que sa boite email a été piratée. Mais que celle d’un contact commun l’a été.

Ces 4 étapes sont reprises visuellement dans l’infographie que vous pouvez télécharger ici (faire clic-droit -> enregistrer sous): et partager librement: Partager sur Linkedin.

Pour vérifier l’adresse email de l’expéditeur, je recommande la même technique que pour vérifier un lien cliquable dans un mail suspect : survoler avec la souris le lien cliquable (sans cliquer !) et observer l’adresse réelle :

Au survol du nom de l'expéditeur Alain G, l'adresse email est kontakt@znakipamieci.pl

 

Les mesures de vigilance habituelles doivent impérativement s’appliquer :

- même si vous n’avez aucun doute sur la légitimité du message, ne jamais activer les macros d’un document sans en avoir besoin ;
- au moindre doute, vérifier que le document est légitime auprès du correspondant via un canal de communication que vous savez fiable : mail, sms, téléphone, de vive voix ;
- disposer d’un antivirus à jour ne suffit pas à vous protéger de ces fichiers malveillants : 2 jours après la réception d’un fichier infecté, celui-ci n’était toujours pas détecté par les antivirus les plus populaires.

Werner KLINGER
Ingénieur Conseil.

Tags: , , , , , , ,

1 commentaire sur “Pourquoi le nouvel hameçonnage Emotet est-il aussi efficace ?”

  1. Charles Anres dit :

    Merci Werner, un article intéressant et tout à fait clair.

Répondre à Charles Anres

Note: Vous êtes responsable de vos commentaires, veillez à rester courtois et factuel. En postant votre commentaire, vous accordez de fait un droit de diffusion à Secur'id.