Diffusion du ransomware Matrix via des liens malveillants

Le malware Matrix qui avait disparu pendant un certain temps a été remarqué dans une des récentes campagnes EITest. Brad Duncan, chercheur à Palo Alto, a identifié des cas de diffusion du malware via le kit d’exploitation RIG, alors qu’avant, le rythme et l’ampleur de la diffusion de Matrix ne pouvaient en rien se comparer avec ceux de malwares tels que Cerber et Spora. Cet élément a attiré l’attention de l’expert qui a étudié attentivement l’exemplaire et qui a pu découvrir ainsi une capacité de diffusion automatique.

La nouvelle version de Matrix est capable d’infecter d’autres ordinateurs en se propageant via des liens malveillants. Il peut aussi charger sur le serveur d’attaque des informations sur les types de fichiers qu’il a chiffrés.

Le malware se propage via des sites compromis suite à une infection par le script EITest. Dès que l’iframe RIG est chargé sur l’ordinateur, le kit d’exploitation tente d’exploiter les applications vulnérables et d’installer Matrix.

Pour se propager aux autres ordinateurs du réseau, Matrix masque le dossier pendant le chiffrement des fichiers et crée un lien portant le même nom, puis copie le fichier exécutable du ransomware qu’il enregistre sous desktop.ini dans le dossier original déjà masqué.

Par exemple, le malware peut masquer le dossier « Documents » et créer le lien correspondant. L’utilisateur ouvre ce dossier et y enregistre des fichiers quelconque sans se douter de rien car tout semble fonctionner normalement. Pendant ce temps, Matrix copie le fichier desktop.ini qui est en réalité le fichier exécutable du malware dans %Temp%\OSw4Ptym.exe, puis l’exécute. Le malware peut ainsi s’introduire dans d’autres ordinateurs via des disques réseau ou amovibles.

Les chercheurs ont également observé que Matrix bénéficie de mises à jour fréquentes et que chaque nouvelle version affiche des caractéristiques différentes, que ce soit au niveau des fichiers à chiffrer, des adresses email de contact ou du texte de la demande de rançon. Les experts estiment que Matrix va continuer à évoluer.

Matrix contacte souvent le serveur de commande et l’informe de l’état d’avancement du chiffrement. Le malware charge les statistiques relatives aux types de fichiers à chiffrer sur le serveur, à l’instar de Spora, et dispose de différentes exigences quant à l’ampleur de la rançon en fonction du type de fichier chiffré.

De plus, Matrix supprime Shadow Volume Copies afin d’exclure la possibilité de revenir à l’état antérieur aux modifications et de restaurer le système à l’état qu’il avait avant l’infection.

Dans le texte du message affiché à l’écran à l’issue du chiffrement, les individus malintentionnés signalent que la rançon augmente de 100 dollars toutes les 12 heures au cours du délai imparti. Les victimes disposent d’un maximum de 96 heures. A l’issue de ce délai, les fichiers sont supprimés définitivement.

Source : Threatpost

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *