Augmentation du nombre de détections de Cryptowall 3.0 dans le spam et le trafic Angler

Au mois de mai dernier, le kit d’exploitation Angler s’est illustré dans une campagne de propagation du ransomware Cryptowall 3.0 et depuis lors, ce trafic malveillant n’a cessé d’augmenter et avec lui, le nombre de victimes potentielles de cette escroquerie.

D’après les observations du Centre SANS contre les menaces réseau (ISC SANS), Cryptowall 3.0 se propage non seulement via le kit d’exploitation largement utilisé, mais également via des campagnes de spam malveillant. Les deux modes d’infection sont similaires, ce qui laisse supposer que ces attaques proviennent de la même source.

La version 3.0, version la plus récente de Cryptowall, est également connue sous le nom de Crowti. Ce malware, à l’instar d’autres malwares, chiffre les fichiers sur l’ordinateur infecté et exige un paiement pour envoyer la clé de déchiffrement. Le montant de la rançon s’élève en général à 500 dollars en bitcoins. En guise de serveur de commande, l’escroc utilise en général des réseaux anonymes comme Tor ou I2P. En février dernier, des chercheurs de chez Cisco ont découvert une version « allégée » de Cryptowall 3.0, privée d’exploits intégrés. Il semblerait que les opérateurs du ransomware ont considéré qu’un kit d’exploitation était un vecteur plus efficace ou plus économique.

D’après Brad Duncan, chercheur chez Rackspace et journaliste permanent de l’ISC SANS, l’analyse du trafic récent d’Angler a mis en évidence un changement de l’adresse Bitcoin introduit par les opérateurs du ransomware. Brad Duncan écrit sur le site de l’ISC SANS : « Je ne suis pas encore certain à 100 % que la même personne se cache derrière Cryptowall 3.0. Toutefois, mon intuition me dit que toute cette activité est imputable à la même personne ou au même groupuscule criminel. Ce timing ne peut pas être une coïncidence. »

Dans sa réponse aux questions de Threatpost, Brad Duncan déclare que la vérification de deux adresses bitcoins sur blockchain.info a mis en évidence plusieurs transactions, ce qui indique que certaines victimes de Cryptowall 3.0 paient la rançon.

« Nos observations mettent en évidence une hausse sensible du nombre d’échantillons de Cryptowall 3.0 dans le trafic de spam et de codes d’exploitation par rapport aux résultats antérieurs ; l’intensification de la diffusion permet aux individus malintentionnés d’élargir le cercle des victimes potentielles » note le chercheur, en ajoutant qu’il n’a pas encore pu confirmer si les victimes qui avaient payé la rançon avaient bel et bien obtenu la clé pour déchiffrer leurs fichiers.

Brad Duncan observe un regain d’activité liée à CryptoWall 3.0 depuis le 25 mai. Ces diffusions s’opèrent aussi bien par spam que via Angler. A la fin de la semaine dernière, ces deux campagnes malveillantes étaient encore actives.

Dans le spam, Cryptowall 3.0 est diffusé via une pièce jointe dans des messages envoyés depuis des adresses Yahoo. L’archive my_resume.zip contient un fichier HTML nommé my_resume.svg. Brad Duncan a également remarqué que les attaquants ont commencé à ajouter des chiffres au nom du fichier malveillant, par exemple resume4210.html ou resume9647.html.

L’expert explique que « l’ouverture de la pièce jointe et l’extraction du fichier donne un document HTML. Si la victime ouvre un de ces fichiers HTML, le navigateur commence à générer du trafic qu’il dirige vers un serveur compromis. Il reçoit alors un fichier gzip comprimé, invisible dans le trafic TCP de Wireshark. L’exportation du texte de Wireshark donne un fichier HTML qui pointe vers un document partagé hébergé sur un serveur Google. »

Cryptowall est diffusé au départ de différentes URL dans le domaine docs.google.com. La liste a été publiée sur le site de SANS. On y trouve également l’adresse bitcoin utilisée dans le cadre de cette campagne de spam: 16REtGSobiQZoprFnXZBR2mSWvRyUSJ3ag. Cette adresse est unique pour tous les échantillons de malware détectés dans le cadre de cette campagne.

Les premières infections de Cryptowall 3.0 via le kit d’exploitation Angler ont débuté le 26 mai. D’après les informations du SANS, les individus malintentionnés utilisaient alors l’adresse bitcoin 16Z6sidfLrfNoxJNu4qM5zhRttJEUD3XoB et à la fin de la semaine dernière, ils ont ajouté l’adresse 12LE1yNak3ZuNTLa95KYR2CQSKb6rZnELb.

D’après Brad Duncan, « les individus malintentionnés ont pu abandonner l’adresse bitcoin unique pour plusieurs raisons. Il est probable qu’ils ont opté pour une adresse de secours au cas où les autorités bloqueraient la première. Cela leur permet peut-être également de surveiller les infections dans différentes régions. Cette deuxième option est peu probable. Il s’agit simplement d’une hypothèse qui peut être erronée. »

D’après les résultats de l’analyse des injections Web les plus récentes, cette campagne Angler utilise un nombre élevé de redirections Internet, via des sites WordPress compromis. « Comme le confirment les statistiques, il existe sur Internet de nombreux sites vulnérables qui utilisent des versions dépassées et sans correctifs de WordPress. Cela représente une source inépuisable pour les auteurs de cette campagne malveillantes (et d’autres) qui attaquent ces ressources et les exploitent pour atteindre leur objectif ».

Source: Threatpost

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *