L'administration française est en alerte : depuis quelques semaines, on voit le cheval de Troie Emotet s'insérer au sein d'une campagne très ciblée de piratage. L'ANSSI, l'agence française de cybersécurité a ainsi publié un bulletin à l'ensemble de l'administration pour prévenir de la campagne en cours.
Emotet est un malware qui est actuellement exploité par le groupe de hackers Mummy Spider et qui est initialement déployé via des campagnes de phishing. L'idée est d'encourager une cible à cliquer sur un lien vérolé envoyé par Mail, après quoi l'outil se télécharge et commence à récupérer des données sensibles.
Le malware va ensuite plus loin en dérobant les adresses électroniques de tous les contacts de la victime et continue d'envoyer ainsi des emails de phishing. Il se propage également au sein du réseau local et adapte son comportement en fonction de sa cible principale.
Cette fois, l'ANSSI évoque un changement dans les méthodes d'Emotet qui compte beaucoup sur le détournement des fils de discussion (email thread hijacking). En récupérant des échanges email sur le poste de la victime, les pirates s'adaptent. Ils peuvent ainsi renvoyer une fausse réponse à un employé en se faisant passer pour sa hiérarchie et ainsi obtenir des informations plus précises ou encourager la victime à commettre une faute permettant d'infecter davantage de postes ou d'accéder à des données plus sensibles.
