Le malware « Spora » part à la conquête du monde

Un ransomware de première catégorie qui a récemment fait son apparition et qui a surpris les chercheurs par le soin apporté à l’interface de paiement de la rançon et le niveau d’exécution élevé a été remarqué dans quelques campagnes internationales. Ce malware, qui visait jusqu’à présent presqu’exclusivement des victimes russophones, a déjà fait ses premières victimes en Arabie saoudite, en Autriche et aux Pays-Bas.

Il y a deux semaines seulement, Spora s’infiltrait dans le système de la victime via un spam malveillant rédigé en russe. Désormais, le malware se diffuse également via des kits d’exploitation, dont RIG-v. Ce dernier est également à l’origine des dernières campagnes de Cerber, Locky et Sage.

Un serveur malveillant à l’origine de la diffusion du ransomware est impliqué dans deux modes parallèles de diffusion de Spora. D’après des experts d’Emsisoft, la présence du paramètre « Campaign ID » signifie que le cerveau des attaques surveille l’efficacité de deux campagnes de spam ou indique que Spora est utilisé par deux groupes distincts qui louent le malware à son auteur. Et s’il est encore trop tôt pour dire si les auteurs de Spora ont opté pour le concept de ransomware en tant que service, il ne fait aucun doute qu’il constitue une menace internationale.

Spora est impressionnant de maturité : le malware utilise un chiffrement fort et de faux messages électroniques convaincants. Il peut fonctionner sans connexion à Internet et peut compter sur une infrastructure robuste, notamment un service dédié au paiement de la rançon dont la convivialité n’a pas grand-chose à envier à celle de nombreux sites de commerce électronique légitimes.

Ainsi, le portail offre un choix de différentes options aux utilisateurs (déchiffrer deux fichiers gratuitement, déchiffrer tous les fichiers, acheter un « vaccin » contre d’éventuelles infections à venir de Spora, supprimer tous les fichiers du malware sur l’ordinateur après le déchiffrement ou restaurer un fichier en particulier). Cet ensemble d’options est accessible via un élégant tableau de bord qui affiche également le temps restant avant l’échéance du paiement.

Ce menu et le concept de modularité appliqué au paiement de la rançon sont une nouveauté dans le monde de la cyber-escroquerie. Les paiements doivent être réalisés en bitcoins et le portefeuille est associé au compte de la victime sur le portail des escrocs. Pour sécuriser les paiement, le site possède son propre certificat SSL légitime délivré par Comodo.

Source : Threatpost

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *