Après s’être déguisé en une mise à jour de Windows 10 plus tôt ce mois-ci, le malware Emotet a maintenant adopté un nouveau modèle dans lequel il prétend être un message de Microsoft Office exhortant les utilisateurs à mettre à jour Word afin d’ajouter une nouvelle fonctionnalité.
Les cybercriminels derrière Emotet utilisent une variété de leurres différents pour inciter les utilisateurs sans méfiance à ouvrir leurs pièces jointes malveillantes. Dans le passé, les campagnes de spam Emotet se faisaient passer pour des factures, des avis d’expédition, des bons de commande et même des informations sur Covid-19.
Tous ces spams contiennent des documents Word malveillants qui sont soit joints à l’e-mail lui-même, soit téléchargés en cliquant sur un lien dans l’e-mail. Une fois qu’un utilisateur ouvre l’un de ces documents, il est invité à «Activer le contenu» pour que les macros malveillantes contenues dans le fichier Word s’exécutent et installent le malware Emotet sur l’ordinateur de la victime.
Pour aider les utilisateurs sans méfiance à activer des macros, les campagnes de spam Emotet utilisent un certain nombre de modèles différents pour créer un sentiment d’urgence. Par exemple, un courrier indésirable peut demander à un utilisateur de se déconnecter d’une facture ou de mettre à jour son logiciel, comme c’est le cas dans ce dernier modèle.
Sommaire
Mise à niveau de Microsoft Word
Dans le but d’essayer de tromper encore plus d’utilisateurs, Emotet est récemment passé à un nouveau modèle qui prétend être un message de Microsoft Office exhortant les utilisateurs à mettre à jour Word afin d’ajouter une nouvelle fonctionnalité.
L’objet de ces nouveaux e-mails est «Mettez à niveau votre édition de Microsoft Word» et le corps de l’e-mail se lit comme suit: «La mise à niveau de votre édition ajoutera une nouvelle fonctionnalité à Microsoft Word. Cliquez sur Activer la modification puis cliquez sur Autoriser le contenu. »
Une fois qu’un utilisateur clique sur le bouton Activer le contenu, les macros malveillantes s’exécutent, puis téléchargent et installent Emotet dans le dossier Local App Data d’un utilisateur.
Ce qui rend Emotet si dangereux, c’est le fait que le malware est souvent utilisé par les cybercriminels pour installer d’autres types de malwares, y compris Trickbot et QBot, sur l’ordinateur d’une victime. Trickbot et QBot tenteront alors tous deux de voler les mots de passe, les coordonnées bancaires et d’autres informations stockées sur l’ordinateur d’un utilisateur.
Pour éviter d’être victime des campagnes de spam Emotet, les utilisateurs doivent vérifier attentivement leur courrier électronique et éviter d’ouvrir des messages et en particulier des pièces jointes d’expéditeurs inconnus. De même, si un message semble trop beau pour être vrai, il est probable que tout e-mail qui implore un sentiment d’urgence doit également être évité à tout prix.
Via BleepingComputer
