Une nouvelle campagne de phishing Emotet cible les contribuables américains en se faisant passer pour des formulaires fiscaux W-9 prétendument envoyés par l’Internal Revenue Service et les entreprises avec lesquelles vous travaillez.
Emotet est une infection malveillante notoire distribuée par le biais d’e-mails de phishing qui contenaient auparavant des documents Microsoft Word et Excel avec des macros malveillantes qui installaient le logiciel malveillant.
Cependant, après que Microsoft a commencé à bloquer les macros par défaut dans les documents Office téléchargés, Emotet est passé à l’utilisation de fichiers Microsoft OneNote avec des scripts intégrés pour installer le logiciel malveillant Emotet.
Une fois Emotet installé, le malware volera les e-mails des victimes pour les utiliser dans de futures attaques de chaîne de réponse, enverra d’autres spams et installera finalement d’autres malwares qui fourniront un accès initial à d’autres acteurs de la menace, tels que les gangs de ransomwares.
Emotet se prépare pour la saison des impôts aux États-Unis
Les opérations de logiciels malveillants Emotet utilisent généralement des campagnes de phishing thématiques pour coïncider avec les vacances et les activités commerciales annuelles, telles que la saison fiscale actuelle aux États-Unis.
Dans de nouvelles campagnes de phishing vues par des chercheurs en sécurité chez Malwarebytes et Palo Alto Networks Unit42, le malware Emotet cible les utilisateurs avec des e-mails contenant de fausses pièces jointes de formulaires fiscaux W-9.
Dans la campagne vue par Malwarebytes, les acteurs de la menace envoient des e-mails intitulés « IRS Tax Forms W-9 », tout en se faisant passer pour un « inspecteur » de l’Internal Revenue Service.
Ces e-mails de phishing contiennent une archive ZIP nommée « W-9 form.zip » qui contient un document Word malveillant. Ce document Word a été gonflé à plus de 500 Mo pour rendre plus difficile pour les logiciels de sécurité de le détecter comme malveillant.
Cependant, maintenant que Microsoft bloque les macros par défaut, les utilisateurs sont moins susceptibles de se donner la peine d’activer les macros et d’être infectés à l’aide de documents Word malveillants.
Dans une campagne de phishing vue par Brad Duncan de Unit42, les acteurs de la menace contournent ces restrictions en utilisant des documents Microsoft OneNote avec des fichiers VBScript intégrés qui installent le malware Emotet.
Cette campagne de phishing utilise des e-mails de chaîne de réponse contenant des e-mails prétendant provenir de partenaires commerciaux vous envoyant des formulaires W-9, comme indiqué ci-dessous.
Les documents OneNote joints feront semblant d’être protégés, vous demandant de double-cliquer sur le bouton « Afficher » pour voir le document correctement. Cependant, caché sous ce bouton Afficher se trouve un document VBScript qui sera lancé à la place.
Lors du lancement du fichier VBScript intégré, Microsoft OneNote avertit l’utilisateur que le fichier peut être malveillant. Malheureusement, l’histoire nous a montré que de nombreux utilisateurs ignorent ces avertissements et autorisent simplement l’exécution des fichiers.
Une fois exécuté, le VBScript téléchargera la DLL Emotet et l’exécutera à l’aide de regsvr32.exe.
Le logiciel malveillant s’exécutera désormais silencieusement en arrière-plan, volant les e-mails, les contacts et attendant que d’autres charges utiles s’installent sur l’appareil.
Si vous recevez des e-mails prétendant être des W-9 ou d’autres formulaires fiscaux, numérisez d’abord les documents avec votre logiciel antivirus local. Cependant, en raison de la nature sensible de ces formulaires, il n’est pas suggéré de les télécharger vers des services d’analyse basés sur le cloud comme VirusTotal.
Normalement, les formulaires fiscaux sont distribués sous forme de documents PDF et non sous forme de pièces jointes Word, donc si vous en recevez un, évitez de l’ouvrir et d’activer les macros.
Enfin, il est peu probable que les formulaires fiscaux soient jamais envoyés sous forme de documents OneNote, alors supprimez immédiatement l’e-mail et ne l’ouvrez pas si vous en recevez un.
Comme toujours, la meilleure ligne de défense consiste à rejeter tout e-mail de personnes que vous ne connaissez pas, et si vous les connaissez, contactez-les d’abord par téléphone pour confirmer s’ils l’ont envoyé.