Diffusion massive de CryptXXX via des codes d’exploitation

Dans le monde des ransomwares tout change très vite et le favori d’aujourd’hui peut être oublié demain.

Locky constitue un exemple frappant. Il n’y a pas si longtemps, ce malware était diffusé agressivement sur les ordinateurs des utilisateurs et il avait été capable d’interrompre le travail dans d’importants hôpitaux après avoir empêché l’accès du personnel aux données médicales et celui des patients à l’aide médicale. Locky a enregistré son pic d’activité aux mois de février et mars, mais à la fin du mois d’avril, ce malware était en recul et avait cédé sa place à CryptXXX, un autre ransomware puissant.

A la fin du mois d’avril, des chercheurs de Palo Alto Networks ont publié des informations sur de nouvelles cybercampagnes visant à diffuser CryptXXX via le kit d’exploitation Angler. D’après les experts, ces campagnes ont été lancées par le même groupe qui, il y a deux semaines, avait diffusé Locky via le kit d’exploitation Nuclear.

D’après le témoignage du chercheur Brad Duncan, la campagne CryptXXX, que Palo Alto a baptisé Afraidgate car les passerelles des individus malintentionnés sont situées dans le domaine afraid[.]org, est en réalité la 2e du genre et les individus malintentionnés livrent un pseudo Darkleech. Les intermédiaires dans les deux campagnes sont Angler, qui attaque les vulnérabilités dans les navigateurs, et Bedep, un downloader qui télécharge le ransomwere et un clicker.

D’après Brad Duncan, l’utilisation d’Angler permet une meilleure diffusion de CryptXXX car ce kit d’exploitation s’actualise plus vite que l’ensemble de ses concurrents. Il est intéressant de voir la présence de Bedep dans cette campagne. Il s’agit d’un downloader sans fichier qui ne laisse aucune trace sur le disque dur. « La mise à jour récente de Bedep a compliqué l’analyse de ce malware à l’aide d’une machine virtuelle » écrit Brad Duncan dans le blog de Palo Alto. Bedep change de comportement lorsqu’il détecte une machine virtuelle. Il s’abstient de télécharger CryptXXX et le trafic de fraude au clic, observé après l’infection, se distingue du trafic qui provient d’un hôte physique normal.

Pour rappel, Kaspersky Lab avait diffusé à la fin du mois d’avril un outil de déchiffrement afin de pouvoir récupérer gratuitement les fichiers brouillés par CryptXXX.

La menace du pseudo Darkleech a été analysée en détail dans le blog Sucuri au mois de mars. Ce malware s’infiltre non seulement dans les sites WordPress, mais également sur les serveurs Microsoft IIS. Les attaques organisées avec son aide ont très vite évolué et à la fin de l’année dernière, ces infections impliquaient la participation d’Angler.

Locky, quant à lui, n’a pas complètement disparu. Il se propage toujours via des documents Word avec des macros malveillantes. Les spams envoyés par les individus malintentionnés imitent généralement des avis relatifs à une facture impayée ou à l’envoi d’un colis.

Fonte: Threatpost

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *