Maktub Locker : éduqué, esthétique et professionnel

Sur la base de publications d’experts, Softpedia nous met en garde contre l’émergence d’un nouvel acteur bien préparé sur le marché des ransomwares : Maktub (« c’est le destin », en arabe). A la différence de ses confrères, il s’exprime dans un anglais impeccable, il s’adresse poliment aux victimes, son interface utilisateur graphique est artistique et sa programmation est de haut vol.

Le nouveau ransomware a été détecté il y 1,5 semaine par Yonathan Klijnsma, principal analyste antivirus de la firme de sécurité informatique néerlandaise Fox-IT. Lawrence Abrams, de chez Bleeping Computer, a offert une description générale de la piste encore fraîche de Maktub Locker avec à l’appui plusieurs captures d’écran : le chercheur a été très impressionné par le graphisme utilisé par les individus malintentionnés pour le site onion. Selon toute vraisemblance, les designers n’ont copié que le logo. Peu de temps par après, Malwarebytes a réalisé une analyse détaillée du malware sur la base d’échantillons fournis par Klijnsma et l’équipe MalwareHunterTeam.

A l’heure actuelle, Maktub se propage via des pièces jointe dans le spam ; le fichier exécutable malveillant porte une extension .scr et possède une icône qui laisse croire que ce fichier contient un document PDF ou TXT. Afin de renforcer l’illusion, un document Word (au format .rtf) s’affiche à l’ouverture du fichier du malware. Il s’agit d’une « mise à jour d’un contrat utilisateur ». Pendant que l’utilisateur lit le texte, le chiffrement est réalisé en arrière plan.

La clé AES-256 utilisée pour le chiffrement est créée localement. Une extension aléatoire, unique pour chaque victime, est attribuée aux fichiers chiffrés qui est chiffrée avec la clé AEE à l’aide d’une clé RSA publique de 2048 bits, écrite dans le code de Maktub (conservée chez les individus malintentionnés). Dans le cadre de la recherche des fichiers requis, le nouveau ransomware, à l’instar de nombreux de ses collègues, utilise une liste noire contenant les fichiers et les dossiers à ne pas toucher et une liste blanche qui reprend les extensions autorisées. La recherche se déroule sur les disques durs, mais également sur les disques réseau et les disques amovibles.

Il est intéressant de voir que le malware, avant de lancer le chiffrement, vérifie la disposition du clavier et s’il s’avère que la victime écrit en russe, il interrompt ses processus et ne réalise pas les chiffrements. Autre trait à signaler : avant d’être traité, chaque fichier est comprimé, visiblement dans le but d’accélérer le processus.

La clé chiffrée sert d’identifiant de la victime. Elle est placée dans un fichier HTML créé dans chaque dossier avec du contenu chiffré. A l’issue du chiffrement, la demande de rançon et les instructions pour réaliser le paiement sont affichées à l’utilisateur. Le site contenant les informations complémentaires se trouve sur le réseau Tor. Il est accessible via un identifiant personnel et contient cinq pages exécutées de main de maître. Ces dernières, tout comme la demande de rançon initiale, sont rédigées en anglais. Il n’existe pas d’autres options.

image001

Page d’accueil du site onion de Maktub (source : BleepingComputer).

La victime apprend qu’elle dispose de 15 jours pour réaliser le paiement mais que la somme à payer augmentera tous les trois jours et passera de 1,4 bitcoin (environ 600 dollars) à 3,9 bitcoins (environ 1,650 dollars) à l’issue du délai octroyé, et dans ce cas, rien ne garantit que la clé de déchiffrement sera toujours disponible. Pour démontrer leur intention de respecter leurs promesses, les individus malintentionnés proposent à la victime de choisir deux fichiers d’une taille de 200 Ko qui seront déchiffrés gratuitement.

L’analyse du code malveillant menée dans Malwarebytes a démontré que les auteurs du malware, afin de protéger leur création, utilisent un logiciel de chiffrement fiable (certainement disponible dans le commerce) et des outils de lutte contre la détection. D’après le témoignage des experts, les échantillons de Maktub étaient en effet difficilement détectés au cours des premières heures, voire des premiers jours de la campagne de spam.

Malwarebytes a présenté deux autres traits de Maktub. Le code malveillant est dissimulé sous plusieurs couches d’obfuscation et il est décompacté dans la mémoire attribuée dynamiquement. Le chiffrement AES s’opère via la fonction CryptoAPI de l’interface normale de Windows.

« Maktub Locker a été visiblement créé par des experts » concluent les enquêteurs. « La complexité du code indique que ce produit est le fruit de la coopération d’experts de différents domaines. Tout a été développé de manière minutieuse, depuis le compactage du code jusqu’au site Internet. »

La capture d’écran présente le message de demande de rançon de Maktub (source : BleepingComputer).

Fonte: Softpedia

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *