Les réseaux de zombies de Dridex contribuent à l’activation de Cerber

Depuis le début du mois de mai, FireEye a constaté une augmentation sensible du nombre de campagnes de spam qui visent à propager le ransomware Cerber. D’après les experts, les attaquants utilisent la même structure que celle qui avait contribué à la réussite du tristement célèbre malware bancaire Dridex.

Le ransomware Cerber, détecté en février, se distingue par le fait qu’il communique ses exigences aux victimes de vive voix. Il y a eu des cas où ce malware avait été propagé via un code d’exploitation 0jour pour la vulnérabilité CVE-2016-1019 dans Adobe Flash Player repris dans Magnitude et Nuclear, mais depuis au moins le 4 mai, FireEye a constaté qu’il était propagé via du spam lié aux réseaux de zombies Dridex.

Dans le blog de la société, les experts de FireEye signalent que « vu le partenariat avec un diffuseur de spam qui a déjà démontré son efficacité lors de la campagne de diffusion massive de Dridex, il faut s’attendre à une menace par courrier électronique aussi importante que Dridex et Locky ».

Le Trojan Dridex a pendant longtemps attaqué des entreprises et des particuliers afin de leur voler les identifiants d’accès aux systèmes de banque électronique. Les réseaux de zombies, capables d’envoyer des milliers de spams par jour, constituaient le principal moteur de sa propagation.

D’après FireEye, Cerber utilise le même scénario que Dridex : la victime potentielle reçoit un message avec une pièce jointe malveillante présentée sous les traits d’une facture. Si le destinataire ouvre le message, il est invité à activer les macros. Quand les macros sont activées, un VBScript dont le code est obfusqué est téléchargé sur l’ordinateur. La fonction principale de ce script est le téléchargement du malware. Grâce à ce mode d’infection, les individus malintentionnés peuvent contourner les stratégies des passerelles email censées bloquer les scripts envoyés en pièce jointe.

L’analyse a démontré que pour se protéger, le VBScript malveillant utilise du code poubelle, ce qui complique la rétro-ingénierie et le débogage.

Avant de télécharger Cerber, le script vérifie si une connexion Internet est disponible. Si la réponse est positive, il sollicite un fichier jpeg depuis son site via le protocole HTTP. Les chercheurs expliquent « qu’il définit la valeur Range sur bytes=11193- dans les en-têtes de la requête HTTP, ce qui indique au serveur qu’il doit renvoyer le contenu en commençant seulement par au décalage de 11193 octets de ce fichier ». Ils indiquent que cette technique de récupération de la charge utile finale, y compris la vérification, avait été utilisée par Ursnif, qui est Rovnix, et Dridex.

Autre point commun entre ce dernier et Cerber, c’est la rédaction des messages en anglais uniquement ainsi que l’imitation d’une correspondance légitime : généralement, ces messages évoquent une facture impayée, l’impossibilité de remettre un colis, etc.

L’échantillon analysé par FireEye s’intéressait particulièrement aux documents Word ainsi qu’aux fichiers en rapport avec Microsoft Outlook et le site de jeux Steam. Pour atteindre les fichiers cible ouverts sur l’ordinateur, le malware interrompait tous les processus logiciels liés à ces fichiers. Il faut noter que le fichier de configuration de Cerber a trouvé la possibilité d’ajouter un module de diffusion de spam, même s’il faut préciser que cette fonction semble toujours être au stade des essais actuellement.

Fonte: Threatpost

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *