Infos

La campagne Angler-Cryptowall survit grâce à des techniques de dissimulation

Le kit d’exploitation Angler devient un exemple de malware qui intègre de nouvelles techniques pour éviter sa détection. Depuis le début du mois de juin, les observateurs du Centre SANS sur les menaces réseau détectent presque chaque jour une modification des modèles d’URL utilisés par ce kit d’exploitation dans le cadre de la remise du ransomware Cryptowall 3.0.

D’après Brad Duncan, chercheur chez Rackspace et correspondant permanent pour l’ISC SANS, le trafic associé à Angler a fortement changé en un mois au point de devenir méconnaissable. Selon l’expert, « il se peut que les modifications introduites dans les modèles URL d’Angler soient un essai pour déjouer les systèmes de détection d’intrusion. Ceci n’est qu’une hypothèse et tout indique qu’elle n’est pas très loin de la vérité. »

Le kit d’exploitation Angler intervient dans la diffusion de plusieurs malwares, même si à l’heure actuelle son favori semble être Cryptowall 3.0. Ce ransomware chiffre les informations de la victime et exige le paiement d’une somme de 500 dollars (à payer en bitcoins) pour les déchiffrer. Il y a 10 jours, le FBI diffusait une alerte qui indiquait que les pertes globales des victimes de Cryptowall 3.0 s’élevaient à plus de 18 millions de dollars américains.

Depuis le mois de février de cette année, ce ransomware se propage principalement à l’aide de kits d’exploitation. D’après une analyse réalisée chez Cisco, Cryptowall 3.0 utilise un dropper simplifié d’où les codes d’exploitation ont été éliminés. Sa diffusion via Angler a été mise au point vers la fin du mois de mai, en même temps que le lancement d’une campagne de messages non sollicités visant à propager Cryptowall 3.0.

Tout semble indiquer que la rentabilité de ces campagnes malveillantes est importante car les diffuseurs du malware n’ont pas lésiné sur les investissements dans de nouveaux modèles d’URL. D’après Brad Duncan, les individus malintentionnés introduisent de subtiles modifications dans les modèles d’URL utilisés dans les requêtes HTTP GET vers la page d’atterrissage d’Angler, mais également pour les requêtes d’un code d’exploitation Flash concret et la charge utile finale (Cryptowall).

Ainsi, entre le 9 et le 12 juin, un point d’interrogation a été ajouté à la ligne de l’URL et le modèle lui-même a pris l’aspect [séquence de mots]=[séquence de chiffres]. Le 15 juin, l’aspect de la requête pour la page d’atterrissage avait à nouveau changé et la ligne contenait des variations aléatoires et des chiffres écrits en entier. S’agissant de cette dernière astuce, celle-ci fut abandonnée dès le lendemain.

Brad Duncan explique que « le lendemain, le 16 juin, plus aucun chiffre en lettres n’apparaissait. Le modèle &un &deux &trois (etc.) avait été remplacé par &[mot aléatoire] ». Et un jour plus tard, les expériences portaient sur la longueur de la chaîne de caractères alphabétiques. Mercredi dernier, les requêtes GET, associées à Angler, ont complètement abandonné le modèle original observé le 9 juin : d’après l’expert, la ligne de recherche ressemble désormais à search?q=, alors qu’au début du mois dernier, elle ressemblait à search?[caractères aléatoires].

L’expert signale également ce jeu du chat et de la souris impose aux éditeurs de solutions de protection de réaliser des modifications en permanence, non seulement dans les signatures, mais également dans les expressions rationnelles compatibles Perl (PCRE) utilisées pour comparer les modèles d’URL. La norme PCRE prend en charge, par exemple, tous les systèmes de détection d’intrusion sur la base de Snort.

Source: Threatpost

La campagne Angler-Cryptowall survit grâce à des techniques de dissimulation

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Rapports

Etude des menaces mobiles en 2016

En 2016, l’augmentation du nombre de trojans publicitaires qui peuvent utiliser les autorisations root s’est maintenue. Sur l’ensemble de l’année, cette menace n’a jamais quitté la tête du classement et rien n’indique que cette tendance va changer pour l’instant.

Spam en 2016

Les flux de spam ont enregistré plusieurs modifications en 2016. La plus marquante d’entre elles a été l’augmentation de la diffusion de ransomwares. Etant donné la disponibilité de ce genre de malware sur le marché noir, il faut s’attendre à ce que cette tendance se maintienne et le volume de spam malveillant va certainement se maintenir en 2017.

Kaspersky Security Bulletin 2016. Rétrospective de l’année. Statistiques globales de l’année 2016

Les tensions et les remous ont été au rendez-vous dans le cyberespace en 2016, depuis les gigantesques réseaux de zombies de l’Internet des objets jusqu’aux campagnes de cyberespionnage ciblées en passant par le vol d’argent, l’hacktivisme et autres pratiques. La rétrospective et les statistiques présentées par Kaspersky Lab fournissent un compte-rendu détaillé. La synthèse, quant à elle, est accessible ici.

Kaspersky Security Bulletin 2016. La révolution du ransomware

De janvier à septembre 2016, les attaques de ransomwares contre des entreprises ont triplé, avec une attaque toutes les 40 secondes. Vu l’explosion des activités du secteur du ransomware en tant que service et le lancement du project NoMoreRansom, Kaspersky Lab a désigné le ransomware comme problématique clé en 2016.

Abonnez-vous à nos emails hebdomadaires

La recherche la plus excitante dans votre boîte de réception