AlertesCampagnes d’hameçonnage actives tirant parti du maliciel EMOTET

Numéro : AL19-011
Date : 4 juin 2019

Auditoire

La présente alerte s’adresse aux professionnels et aux gestionnaires des TI œuvrant au sein des organismes avisés.

Objectif

Une alerte a pour objet de prévenir les destinataires que des cybermenaces ont été relevées récemment et que celles-ci pourraient toucher les biens d’information électronique. Elle vise également à leur fournir des conseils supplémentaires en matière de détection et d’atténuation. À la demande des destinataires, le Centre canadien pour la cybersécurité (ou Centre pour la cybersécurité) offre également une assistance additionnelle concernant la teneur de la présente alerte.

Évaluation

Le Centre pour la cybersécurité a pris connaissance d’une campagne d’hameçonnage contre les Canadiens et l’industrie canadienne, qui tire parti du maliciel EMOTET, un réseau de zombies sophistiqué ayant infecté des centaines de milliers de systèmes à travers le monde. Après avoir infecté le système, EMOTET peut installer des maliciels additionnels sur celui-ci ou exfiltrer des données.

Les courriels d’hameçonnage d’EMOTET sont particulièrement efficaces, puisqu’ils semblent provenir d’une source de confiance, à savoir, dans plusieurs cas, d’une personne ayant déjà communiqué avec le destinataire auparavant. L’objet et le corps du courriel peuvent sembler être la continuation d’une véritable conversation par courriel entre l’expéditeur et le destinataire. Il en résulte une communication fort convaincante que le destinataire ne remettra vraisemblablement pas en doute, l’amenant à exécuter le maliciel en ouvrant un PDF ou un document Microsoft Word qui prend en charge les macros, ou en cliquant sur un lien de téléchargement malveillant. Après avoir infecté le système du destinataire, EMOTET peut exfiltrer les courriels qui se trouvent sur le système de manière à les utiliser pour créer des courriels d’hameçonnage ciblés qu’il enverra ensuite à la liste des contacts dans le but d’accélérer la propagation du maliciel et d’étendre le réseau de zombies. Ce maliciel recueille les conversations par courriel des comptes infectés depuis la fin de 2018.

Parallèlement aux courriels, EMOTET peut se propager latéralement dans le réseau en perçant les mots de passe par force brute. Cette activité donnera lieu à de nombreuses tentatives infructueuses d’ouverture de session et au verrouillage de plusieurs comptes.

Mesures suggérées

  • Faites preuve de prudence lorsque vous recevez un courriel inattendu ou un message contenant une pièce jointe ou une URL, même s’il provient d’une source de confiance. Si le courriel semble inhabituel, communiquez avec l’expéditeur pour en confirmer l’authenticité.
  • Évitez d’activer les macros contenues dans un document reçu par courriel.
  • Suivez les conseils du Centre pour la cybersécurité pour renforcer votre cybersécurité.

Références

Alerte EMOTET de l’US-CERT : https://www.us-cert.gov/ncas/alerts/TA18-201A

Source ouverte : https://www.zdnet.com/article/emotet-hijacks-email-conversation-threads-to-insert-links-to-malware/

Cinq moyens pratiques de renforcer votre cybersécurité : https://cyber.gc.ca/fr/orientation/cinq-moyens-pratiques-de-renforcer-votre-cybersecurite

Note aux lecteurs

Le Centre canadien pour la cybersécurité (ou Centre pour la cybersécurité) mène ses activités sous l’égide du Centre de la sécurité des télécommunications. Il est l’autorité canadienne en matière de cybersécurité et dirige les interventions du gouvernement lors d’événements liés à la cybersécurité. Le personnel du Centre pour la cybersécurité agit à titre d’équipe nationale d’intervention en cas d’incident lié à la sécurité informatique et travaille étroitement avec les ministères du gouvernement du Canada, les propriétaires et les exploitants d’infrastructures essentielles, les entreprises canadiennes et les partenaires internationaux pour intervenir en cas d’incidents de cybersécurité ou pour atténuer les conséquences en découlant. Ce faisant, il offre conseils et soutien d’expert et coordonne les communications d’information et l’intervention en cas d’incidents. Le Centre pour la cybersécurité est à l’écoute des entités externes et favorise les partenariats visant à créer un cyberespace canadien fort et résilient.

Dernière mise à jour: