Au mois de juillet, plusieurs sociétés de cybersécurité avaient alerté au sujet d'un retour du malware Emotet après une pause de cinq mois. Aujourd'hui, l'Agence nationale de la sécurité des systèmes d'information alerte à son tour.

Cela signifie que la France est la cible de campagnes d'attaques avec le malware Emotet et son botnet de même nom pour sa distribution. L'Anssi évoque ainsi une recrudescence d'activité Emotet dans l'Hexagone et appelle les administrations et entreprises à la vigilance.

Pour rappel, Emotet a évolué d'un cheval de Troie bancaire détecté en 2014 vers une infrastructure en tant que service modulaire servant à délivrer des charges utiles malveillantes diverses et variées. Le groupe du nom de TA542 en serait à l'origine.

" La détection et le traitement au plus tôt d'un évènement de sécurité lié à Emotet peut prévenir de nombreux types d'attaques, dont celles par rançongiciel avant le chiffrement ", écrit l'Anssi qui aiguille dans son bulletin d'alerte vers des indicateurs de compromission.

Emotet a fait son retour cet été via des campagnes de phishing et spam malveillant avec des emails contenant une URL ou pièce jointe pour des documents Word piégés, avec la méthode de la macro pour l'exécution de la charge utile, puis le contact avec des serveurs de commande et contrôle.

L'Anssi souligne en particulier du phishing avec une technique de détournement des fils de discussion des emails. Lorsqu'une boîte email d'un employé est compromise, Emotet exfiltre le contenu de certains emails. " Les attaquants peuvent alors produire des emails de phishing prenant la forme d'une réponse à une chaîne d'emails échangés entre l'employé et des partenaires de l'entité pour laquelle il travaille. "

L'alerte de l'Anssi n'est en tout cas sans doute pas un hasard. Le ministère de l'Intérieur a par exemple tout récemment bloqué de manière temporaire les fichiers au format .doc en raison d'une campagne d'attaque par messagerie.