vendredi 12 février 2021
[mise à jour du 12 février 2021]
First spotted in 2014 as a banking Trojan, Emotet evolved towards a modular structure. Since 2017, this Malware-as-a-Service has been distributing, within networks it infects, malicious codes operated by others cybercriminals who are customers of TA542.
Currently, Emotet distributes TrickBot, QakBot and SilentNight. Attack campaigns do not appear to target specific industries, although geographic targeting can sometimes be identified.
This report provides a summary of ANSSI’s knowledge on Emotet and references trusted sources of IOCs.
[mise à jour du 22 septembre 2020]
L’ensemble des échantillons obtenus par l’ANSSI jusqu’à maintenant a permis de comparer ces derniers avec les listes de marqueurs en sources ouvertes référencés dans la section “Moyens de détection relatifs à Emotet”.
La fiabilité de ces flux a été assurée et nous vous encourageons à les intégrer dans vos systèmes de détection.
Contrairement aux recommandations indiquées dans la version précédente de cette alerte, il n’est donc plus nécessaire de nous faire parvenir vos échantillons.
[version initiale 07 septembre 2020]
Depuis quelques jours, l’ANSSI constate un ciblage d’entreprises et administrations françaises par le code malveillant Emotet. Il convient d’y apporter une attention particulière car Emotet est désormais utilisé pour déposer d’autres codes malveillants susceptibles d’impacter fortement l’activité des victimes.
Observé pour la première fois mi-2014 en tant que cheval de Troie bancaire, Emotet a évolué pour devenir un cheval de Troie modulaire. Ses différents modules actuels lui permettent :
de récupérer les mots de passe stockés sur un système ainsi que sur plusieurs navigateurs (Internet Explorer, Mozilla Firefox, Google Chrome, Safari, Opera) et boîtes courriel (Microsoft Outlook, Windows Mail, Mozilla Thunderbird, Hotmail, Yahoo! Mail et Gmail) ;
de dérober la liste de contacts, le contenu et les pièces jointes attachées à des courriels ;
de se propager au sein du réseau infecté en tirant parti de vulnérabilités SMB ainsi que des mots de passe récupérés.
Le code malveillant est distribué par le botnet éponyme (lui-même composé de trois groupements de serveurs différents Epoch 1, Epoch 2, Epoch 3, opérés par le groupe cybercriminel TA542) au travers de campagnes massives de courriels d’hameçonnage, souvent parmi les plus volumineuses répertoriées. Ces courriels d’hameçonnage contiennent généralement des pièces jointes Word ou PDF malveillantes, et plus rarement des URL pointant vers des sites compromis ou vers des documents Word contenant des macros.
…/…
Lire l’intégralité de l’article sur :
The Banking Trojan Emotet: Detailed Analysis :
Visits: 16
[mise à jour du 12 février 2021]
First spotted in 2014 as a banking Trojan, Emotet evolved towards a modular structure. Since 2017, this Malware-as-a-Service has been distributing, within networks it infects, malicious codes operated by others cybercriminals who are customers of TA542.
Currently, Emotet distributes TrickBot, QakBot and SilentNight. Attack campaigns do not appear to target specific industries, although geographic targeting can sometimes be identified.
This report provides a summary of ANSSI’s knowledge on Emotet and references trusted sources of IOCs.
[mise à jour du 22 septembre 2020]
L’ensemble des échantillons obtenus par l’ANSSI jusqu’à maintenant a permis de comparer ces derniers avec les listes de marqueurs en sources ouvertes référencés dans la section “Moyens de détection relatifs à Emotet”.
La fiabilité de ces flux a été assurée et nous vous encourageons à les intégrer dans vos systèmes de détection.
Contrairement aux recommandations indiquées dans la version précédente de cette alerte, il n’est donc plus nécessaire de nous faire parvenir vos échantillons.
[version initiale 07 septembre 2020]
Depuis quelques jours, l’ANSSI constate un ciblage d’entreprises et administrations françaises par le code malveillant Emotet. Il convient d’y apporter une attention particulière car Emotet est désormais utilisé pour déposer d’autres codes malveillants susceptibles d’impacter fortement l’activité des victimes.
Observé pour la première fois mi-2014 en tant que cheval de Troie bancaire, Emotet a évolué pour devenir un cheval de Troie modulaire. Ses différents modules actuels lui permettent :
de récupérer les mots de passe stockés sur un système ainsi que sur plusieurs navigateurs (Internet Explorer, Mozilla Firefox, Google Chrome, Safari, Opera) et boîtes courriel (Microsoft Outlook, Windows Mail, Mozilla Thunderbird, Hotmail, Yahoo! Mail et Gmail) ;
de dérober la liste de contacts, le contenu et les pièces jointes attachées à des courriels ;
de se propager au sein du réseau infecté en tirant parti de vulnérabilités SMB ainsi que des mots de passe récupérés.
Le code malveillant est distribué par le botnet éponyme (lui-même composé de trois groupements de serveurs différents Epoch 1, Epoch 2, Epoch 3, opérés par le groupe cybercriminel TA542) au travers de campagnes massives de courriels d’hameçonnage, souvent parmi les plus volumineuses répertoriées. Ces courriels d’hameçonnage contiennent généralement des pièces jointes Word ou PDF malveillantes, et plus rarement des URL pointant vers des sites compromis ou vers des documents Word contenant des macros.
…/…
Lire l’intégralité de l’article sur :
The Banking Trojan Emotet: Detailed Analysis :
Visits: 16
[mise à jour du 12 février 2021]
First spotted in 2014 as a banking Trojan, Emotet evolved towards a modular structure. Since 2017, this Malware-as-a-Service has been distributing, within networks it infects, malicious codes operated by others cybercriminals who are customers of TA542.
Currently, Emotet distributes TrickBot, QakBot and SilentNight. Attack campaigns do not appear to target specific industries, although geographic targeting can sometimes be identified.
This report provides a summary of ANSSI’s knowledge on Emotet and references trusted sources of IOCs.
[mise à jour du 22 septembre 2020]
L’ensemble des échantillons obtenus par l’ANSSI jusqu’à maintenant a permis de comparer ces derniers avec les listes de marqueurs en sources ouvertes référencés dans la section “Moyens de détection relatifs à Emotet”.
La fiabilité de ces flux a été assurée et nous vous encourageons à les intégrer dans vos systèmes de détection.
Contrairement aux recommandations indiquées dans la version précédente de cette alerte, il n’est donc plus nécessaire de nous faire parvenir vos échantillons.
[version initiale 07 septembre 2020]
Depuis quelques jours, l’ANSSI constate un ciblage d’entreprises et administrations françaises par le code malveillant Emotet. Il convient d’y apporter une attention particulière car Emotet est désormais utilisé pour déposer d’autres codes malveillants susceptibles d’impacter fortement l’activité des victimes.
Observé pour la première fois mi-2014 en tant que cheval de Troie bancaire, Emotet a évolué pour devenir un cheval de Troie modulaire. Ses différents modules actuels lui permettent :
de récupérer les mots de passe stockés sur un système ainsi que sur plusieurs navigateurs (Internet Explorer, Mozilla Firefox, Google Chrome, Safari, Opera) et boîtes courriel (Microsoft Outlook, Windows Mail, Mozilla Thunderbird, Hotmail, Yahoo! Mail et Gmail) ;
de dérober la liste de contacts, le contenu et les pièces jointes attachées à des courriels ;
de se propager au sein du réseau infecté en tirant parti de vulnérabilités SMB ainsi que des mots de passe récupérés.
Le code malveillant est distribué par le botnet éponyme (lui-même composé de trois groupements de serveurs différents Epoch 1, Epoch 2, Epoch 3, opérés par le groupe cybercriminel TA542) au travers de campagnes massives de courriels d’hameçonnage, souvent parmi les plus volumineuses répertoriées. Ces courriels d’hameçonnage contiennent généralement des pièces jointes Word ou PDF malveillantes, et plus rarement des URL pointant vers des sites compromis ou vers des documents Word contenant des macros.
…/…
Lire l’intégralité de l’article sur :
The Banking Trojan Emotet: Detailed Analysis :
Visits: 16