Emotet est l’un des logiciels malveillants les plus aboutis de l’histoire de la cybercriminalité. Il infecte depuis plusieurs années des millions d’ordinateurs.

 

L’équipe d’IcodiaLabs, qui développe la solution antivirus et antispam EndiGuard.Mel, nous livre une petite explication de texte sur le principe de fonctionnement de ce malware.

 

 À propos d’Emotet

Le loader Emotet (alias Heodo) est la quatrième itération du code malveillant Geodo apparu en 2014.

Geodo est un cheval de Troie bancaire, né d’une collaboration entre des membres issus du réseau cybercriminel Business Club et du prestataire d’hébergement « bulletproof » Troyak, hébergeur peu scrupuleux qui propose des services hors d’atteinte des traités de coopération judiciaire.

Ce groupe développe en 2010 le code malveillant Bugat (alias Cridex, Feodo). En 2014 apparaissent les chevaux de Troie Dridex et Geodo, opérés respectivement par les groupes Evil Corp et TA542, issus du réseau Business Club.

Observé pour la première fois en 2014 en tant que cheval de Troie bancaire, Emotet avait initialement pour objectif d’opérer des virements bancaires automatiques.

À partir de 2015, Emotet a évolué pour devenir un cheval de Troie modulaire.
Il permet alors la récupération de mots de passe navigateurs et courriels, de listes de contacts, de contenus et pièces jointes d’email, mais également sa propre propagation au sein d’un réseau infecté, exploitant des failles de sécurité SMB ainsi que les mots de passe récupérés.

Depuis 2017, Emotet est utilisé en tant que cheval de Troie uniquement. Il est exploité par les clients du groupe TA542 pour distribuer du code malveillant, comme par exemple des rançongiciels, des chevaux de Troie bancaires ou des programmes de type « information stealer » (voleur d’informations).

Le 27 janvier, dans le cadre d’une enquête coordonnée par Europol (agence européenne spécialisée dans la répression de la criminalité), le réseau qui exploitait les botnet opérés par le groupe TA542 a été démantelé. Cependant, étant donné qu’Emotet est ouvert dans le milieu cybercriminel depuis plus de 3 ans, une grande partie des rançongiciels et autre codes malveillants utilisent encore ce malware à ce jour.

 

Le fonctionnement d’Emotet

Source image : Trendmicro – https://success.trendmicro.com/solution/000285617

Étape 1 : Hameçonnage, réception du malware

Le botnet Emotet  diffuse des e-mails infectés via une campagne massive de hameçonnage : des e-mails contenant un document Microsoft Office, fausse facture ou autre accompagné d’un texte incitant la victime à ouvrir la pièce jointe.

Étape 2 : Exécution de la Macro

Lors de son ouverture, le document Microsoft Office propose à l’utilisateur d’exécuter une macro (script généralement écrit en langage VBscript) en utilisant la méthode dite de l’offuscation (sous une forme masquée).
La macro  lance alors un script Powershell (script système).

À noter que certaines variantes de rançongiciels utilisent des failles de sécurité de Microsoft Office pour lancer automatiquement la macro VB sans message d’avertissement pour l’utilisateur.

 

Étape 3 : Exécution du script Powershell : téléchargement et lancement du malware Emotet

Ce script système lance alors le téléchargement du binaire Emotet puis l’exécute sur la machine de la victime.

Tout comme le code de la macro contenue dans le document Microsoft Office, le code du script powershell est offusqué

u

Le principe de l'offuscation

L’offuscation est une stratégie qui consiste à brouiller un message pour le rendre moins lisible, moins reconnaissable

Exemple :
Pour appeler le téléchargement du programme malveillant, au lieu d’écrire en clair dans le script :

$url="https://www.siteexemple.com/repertoire/file.bin",

ce qui serait facilement visible et analysable par un antivirus (via une recherche par expression régulière par exemple),

on va transformer l’url en hexadécimal et écrire :

$h="68 74 74 70 73 3a 2f 2f 77 77 77 2e 73 69 74 65 65 78 65 6d 70 6c 65 2e 63 6f 6d 2f 72 65 70 65 72 74 6f 69 72 65 2f 66 69 6c 65 2e 62 69 6e"
$ac=$ -split ‘ ‘ |ForEach-Object {[char][byte]"0x$_"}
$url= $ac -join ‘ ‘

ce qui donnera le même résultat, tout en étant moins reconnaissable.

Certains autres rançongiciels permettent de charger la version du binaire en fonction du système d’exploitation utilisé : Windows, MacOS ou Linux (et dans ce cas il ne s’agit pas d’un script Powershell, mais d’un script adapté au système d’exploitation, crée à partir du script VB d’origine). Ici aussi, le script Powershell est impénétrable (offuscation) afin de cacher le comportement du script (qui va télécharger ensuite le loader binaire).

Étape 4 : Le processus d’injection

En s’exécutant, Emotet lance plusieurs sous-programmes (généralement nommés 15.exe).
L’instance va alors se copier dans le dossier de Windows (par exemple C:\Windows\SysWOW64\) sous le nom « ipropmini.exe ».
(Le nom peut changer suivant la version d’Emotet)

Ensuite, Emotet crée un service Windows qui lui permet de se lancer à chaque démarrage et de demeurer en résident (exécuté en tache de fond). Ainsi,  le service ipropmini est exécuté par le gestionnaire de service de Windows, comme tout processus normal du système.

C’est la fin du processus d’installation du loader Emotet.

 

Étape 5 : Échanges avec le serveur Command and Control (C&C) et malwares additionnels

Le loader Emotet est donc exécuté en tâche de fond en continu.
Il peut maintenant échanger à tout moment des informations de manière chiffrée avec un serveur C&C (Command And Control).

Le rôle de ce serveur est d’envoyer des ordres d’exécution de commandes au programme Emotet (exemple : déclencher le chiffrement de tous les fichiers bureautiques de la machine de la victime puis demander une rançon).
Le serveur C&C peut aussi demander à Emotet d’ajouter d’autres programmes malveillants, comme par exemple un malware dédié si il s’avère que la victime est sur un réseau bancaire.

Cette totale mainmise sur la machine de la victime fait du réseau Emotet un des acteurs clés de la cybercriminalité depuis plusieurs années, car il sévit pour le compte d’organisation structurées, monnayant également ses services à des groupes malveillants, en leur proposant une porte ouverte sur de nombreuses machines infectées.

 

Pour en savoir plus :

 

En savoir plus sur notre solution de filtrage antivirus et antispam, labellisée France Cybersecurity :