Depuis sa résurgence, les experts de Trellix, spécialiste de la cybersécurité et pionnière dans la détection et la réponse étendues (XDR) et qui surveillent de près ce malware, ont observé avec précision le fonctionnement du malware. Tout commence par une campagne de phishing classique, soit l’envoi d’un mail contenant une pièce jointe malveillante.
Dans le cas d’Emotet, il s’agit d’un document Word ou, selon des observations plus récentes, d’un document OneNote. Une fois le document téléchargé et ouvert, l’utilisateur est incité à confirmer qu’il donne son autorisation pour la modification, ce qui exécute, donc, le malware.

En termes de prévalence, les équipes de Trellix ont également observé que :
• Les pays les plus touchés par Emotet à ce jour sont l’Italie, l’Ukraine, le Portugal, l’Estonie, la Turquie, Israël, les Émirats arabes unis, la Thaïlande, le Guatemala et Singapour.
• Les 5 secteurs ciblés en priorité sont l’e-commerce, l’énergie, les services financiers, le gouvernement et le secteur de la santé.