Diffusion de Teslacrypt à l’aide de Neutrino

Les journalistes de Softpedia nous mettent en garde contre une nouvelle campagne d’escroquerie qui repose sur l’utilisation du kit d’exploitation Neutrino et des redirections vers des sites WordPress compromis. Cette fois-ci, l’exploitation sur l’ordinateur de la victime entraîne le téléchargement du programme de verrouillage Teslacrypt qui chiffrent principalement les fichiers des joueurs. Cette nouvelle attaque a été découverte par les chercheurs de la société danoise Heimdal Security qui s’est séparée de CSIS Security Groupe il y à 18 mois.

D’après les experts, les attaquants utilisent principalement en guise de redirection des sites qui tournent sous une ancienne version de WordPress ou qui utilisent des plug-ins vulnérables pour cette plateforme CMS. Heimdal signal que cette dernière est utilisée actuellement par plus de 142 millions de sites sur Internet et près de 20 % d’entre eux utilisent des versions dépassées de WordPress. Plus de 409 millions d’Internautes lisent à l’heure actuelle des blogs sous WordPress, ce qui indique que le nombre de victimes potentielles de cette nouvelle campagne malveillante pourrait être très élevé.

Une fois déclenchés, les scripts chargés par les individus malintentionnés sur les sites compromis renvoient les visiteurs vers un domaine de redirection principal dans la zone de premier niveau .com, puis vers le kit d’exploitation Neutrino. Les attaques actuelles contiennent des codes d’exploitation pour les vulnérabilités les plus récentes dans Adobe Flash Player, Adobe Reader/Acrobat et Internet Explorer. D’après les chercheurs, ces malwares non sont pas identifiés facilement en raison de l’obfuscation à plusieurs niveaux adoptée par les auteurs de Neutrino.

Un des sites d’exploitation, enregistré dans le domaine de la République du Mali et hébergés sur un serveur en Hollande, déjà bien connu pour son association avec Neutrino, a été identifié pendant les essais. L’exemplaire de Teslacrypt téléchargé à l’aide du code d’exploitation a non seulement chiffré les fichiers sur l’ordinateur infecté, mais il a également supprimé les copies sur le disque local afin d’empêcher toute récupération des données et il a atteint d’autres fichiers sur le même réseau. Le malware de chiffrement a été téléchargé depuis un domaine polonais d’un voleur d’informations de la famille Pony.

Pour rappel, une méthode similaire a été utilisée récemment pour propager CryptoWall 3.0, un autre malware d’escroquerie dangereux. Brad Duncan, blogueur pour ISC SANS, avait prévu au début du mois de septembre une augmentation de l’activité de Neutrino, un des concurrents principaux d’Angler.

Source: Softpedia

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *