Cheval de Troie bancaire / Loader
Emotet
aka Geodo · Heodo · Mealybug
Un cheval de Troie bancaire modulaire devenu l'un des loaders malware-as-a-service les plus prolifiques, tristement célèbre pour ses campagnes de malspam avant son démantèlement en 2021.
Emotet est apparu en 2014 comme un cheval de Troie bancaire visant les clients allemands et autrichiens. Il s'est ensuite transformé en l'un des loaders malware-as-a-service les plus répandus au monde : plutôt que de monétiser directement ses victimes, Emotet louait son accès à d'autres groupes criminels.
Chronologie
- 2014 — Apparition en tant que cheval de Troie bancaire.
- 2018–2020 — Devient le loader privilégié de TrickBot et QakBot, qui déployaient les rançongiciels Ryuk et Conti.
- Janvier 2021 — Démantelé par l'opération Ladybird (Europol).
Diffusion
Emotet se propage par malspam avec des documents Office piégés, et utilise le détournement de fils de discussion pour rendre ses leurres crédibles.
Les campagnes de rançongiciels associées sont recensées sur Cyber Breaches, et l'analyse technique du déballage sur le Reverse Engineering Hub.