Infos

Les réseaux de zombies de Dridex contribuent à l’activation de Cerber

Depuis le début du mois de mai, FireEye a constaté une augmentation sensible du nombre de campagnes de spam qui visent à propager le ransomware Cerber. D’après les experts, les attaquants utilisent la même structure que celle qui avait contribué à la réussite du tristement célèbre malware bancaire Dridex.

Le ransomware Cerber, détecté en février, se distingue par le fait qu’il communique ses exigences aux victimes de vive voix. Il y a eu des cas où ce malware avait été propagé via un code d’exploitation 0jour pour la vulnérabilité CVE-2016-1019 dans Adobe Flash Player repris dans Magnitude et Nuclear, mais depuis au moins le 4 mai, FireEye a constaté qu’il était propagé via du spam lié aux réseaux de zombies Dridex.

Dans le blog de la société, les experts de FireEye signalent que « vu le partenariat avec un diffuseur de spam qui a déjà démontré son efficacité lors de la campagne de diffusion massive de Dridex, il faut s’attendre à une menace par courrier électronique aussi importante que Dridex et Locky ».

Le Trojan Dridex a pendant longtemps attaqué des entreprises et des particuliers afin de leur voler les identifiants d’accès aux systèmes de banque électronique. Les réseaux de zombies, capables d’envoyer des milliers de spams par jour, constituaient le principal moteur de sa propagation.

D’après FireEye, Cerber utilise le même scénario que Dridex : la victime potentielle reçoit un message avec une pièce jointe malveillante présentée sous les traits d’une facture. Si le destinataire ouvre le message, il est invité à activer les macros. Quand les macros sont activées, un VBScript dont le code est obfusqué est téléchargé sur l’ordinateur. La fonction principale de ce script est le téléchargement du malware. Grâce à ce mode d’infection, les individus malintentionnés peuvent contourner les stratégies des passerelles email censées bloquer les scripts envoyés en pièce jointe.

L’analyse a démontré que pour se protéger, le VBScript malveillant utilise du code poubelle, ce qui complique la rétro-ingénierie et le débogage.

Avant de télécharger Cerber, le script vérifie si une connexion Internet est disponible. Si la réponse est positive, il sollicite un fichier jpeg depuis son site via le protocole HTTP. Les chercheurs expliquent « qu’il définit la valeur Range sur bytes=11193- dans les en-têtes de la requête HTTP, ce qui indique au serveur qu’il doit renvoyer le contenu en commençant seulement par au décalage de 11193 octets de ce fichier ». Ils indiquent que cette technique de récupération de la charge utile finale, y compris la vérification, avait été utilisée par Ursnif, qui est Rovnix, et Dridex.

Autre point commun entre ce dernier et Cerber, c’est la rédaction des messages en anglais uniquement ainsi que l’imitation d’une correspondance légitime : généralement, ces messages évoquent une facture impayée, l’impossibilité de remettre un colis, etc.

L’échantillon analysé par FireEye s’intéressait particulièrement aux documents Word ainsi qu’aux fichiers en rapport avec Microsoft Outlook et le site de jeux Steam. Pour atteindre les fichiers cible ouverts sur l’ordinateur, le malware interrompait tous les processus logiciels liés à ces fichiers. Il faut noter que le fichier de configuration de Cerber a trouvé la possibilité d’ajouter un module de diffusion de spam, même s’il faut préciser que cette fonction semble toujours être au stade des essais actuellement.

Fonte: Threatpost

Les réseaux de zombies de Dridex contribuent à l’activation de Cerber

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Rapports

Etude des menaces mobiles en 2016

En 2016, l’augmentation du nombre de trojans publicitaires qui peuvent utiliser les autorisations root s’est maintenue. Sur l’ensemble de l’année, cette menace n’a jamais quitté la tête du classement et rien n’indique que cette tendance va changer pour l’instant.

Spam en 2016

Les flux de spam ont enregistré plusieurs modifications en 2016. La plus marquante d’entre elles a été l’augmentation de la diffusion de ransomwares. Etant donné la disponibilité de ce genre de malware sur le marché noir, il faut s’attendre à ce que cette tendance se maintienne et le volume de spam malveillant va certainement se maintenir en 2017.

Kaspersky Security Bulletin 2016. Rétrospective de l’année. Statistiques globales de l’année 2016

Les tensions et les remous ont été au rendez-vous dans le cyberespace en 2016, depuis les gigantesques réseaux de zombies de l’Internet des objets jusqu’aux campagnes de cyberespionnage ciblées en passant par le vol d’argent, l’hacktivisme et autres pratiques. La rétrospective et les statistiques présentées par Kaspersky Lab fournissent un compte-rendu détaillé. La synthèse, quant à elle, est accessible ici.

Kaspersky Security Bulletin 2016. La révolution du ransomware

De janvier à septembre 2016, les attaques de ransomwares contre des entreprises ont triplé, avec une attaque toutes les 40 secondes. Vu l’explosion des activités du secteur du ransomware en tant que service et le lancement du project NoMoreRansom, Kaspersky Lab a désigné le ransomware comme problématique clé en 2016.

Abonnez-vous à nos emails hebdomadaires

La recherche la plus excitante dans votre boîte de réception