Cerber 5.0 est dans la nature

Le chercheur Bryan Campbell a identifié une nouvelle version du malware Cerber dans la nature. Cerber 5.0 se propage via les kits d’exploitation RIG-V qui permettent d’installer le malware à l’insu de l’utilisateur si celui-ci accède à un site Web infecté par une publicité malveillante. Il se peut également que Cerber 5.0 se propage via du spam malveillant, mais à l’heure actuelle, les chercheurs n’ont encore trouvé aucun exemplaire de ce genre de message.

Un peu plus tôt au mois d’octobre, Cerber s’était doté de toute une série de nouvelles fonctions : le malware de blocage sous Windows avait appris à remplacer l’extension des fichiers chiffrés .cerber3 par une suite aléatoire de 4 caractères, à utiliser le format HTA pour les fichiers contenant les demandes de rançon et à ajouter des directives close_process qui permettent de terminer certains processus de la base de données avant le chiffrement.

BloodDolly, chercheur en sécurité de l’information, a signalé d’autres nouveautés dans Cerber 5.0, dont la possibilité pour le chiffreur de sauter 640 octets et non plus 512 pendant le chiffrement. De même, la taille minimale du fichier qui peut être chiffré passe à 2 560 octets (dans la version antérieure, ce seuil était de 1 024 octets). L’envoi des paquets UDP statistiques s’opère désormais via des adresses IP des plages 63.55.11.0/27, 15.93.12.0/27, 194.165.16.0/22

Et comme si cela ne suffisait pas, le chercheur Marcelo Rivero a déjà trouvé un exemplaire de Cerber 5.0.1 dans la nature. Tout semble indiquer que ce n’est pas demain la veille que ce malware cessera d’importuner les utilisateurs.

Fonte: Threatpost

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *