Un cas dans la vraie vie : Emotet

Avant de passer au chapitre suivant, il semble intéressant de regarder un cas réel de Malware PowerShell. À défaut de pouvoir proposer des échantillons (samples, en anglais) de malware exclusifs dans cet ouvrage, nous pouvons utiliser des exemples de malware connus et largement diffusés.

Emotet est un maliciel (malware) qui a largement défrayé la chronique de 2014 à 2021. En 2021, les forces de l’ordre ukrainiennes et allemandes ont pris le contrôle des serveurs du malware (accompagné de quelques arrestations). Les concepteurs d’Emotet utilisaient notamment leur code pour infecter des machines (par exemple au travers de macros malveillantes dans un fichier Word envoyé en pièce jointe d’un mail) et revendre ensuite les accès à d’autres groupes de cybercriminels. Emotet a infecté plus d’un million d’ordinateurs dans le monde et servi à la diffusion d’autres logiciels malveillants comme Trickbot ou Ryuk. L’ensemble a abouti à de nombreuses attaques par rançongiciel dans le monde entier.

Dans cette section, nous allons donc regarder à quoi ressemble un code de malware réel. Il existe de nombreuses versions d’Emotet, celle-ci se décomposant en de nombreuses branches et parties au fil du temps.

Nous allons donc regarder le dropper du malware Emotet. Un dropper est le bloc de code initial qui permet de télécharger la charge réelle...