Médecins victimes d’un ransomware sans fichier

Les individus malintentionnés continuent leurs expériences sur les manières d’infecter les victimes avec des ransomwares. Dans le cadre d’une enquête sur un incident de cybersécurité dont avait été victime un membre du secteur de la santé, les experts de Carbon Black ont identifié une nouvelle version d’un ransomware qui est livré via Microsoft Word et le composant Windows PowerShell.

Le ransomware, baptisé PowerWare, se distingue de ses confrères par le fait qu’il est sans fichier ; cette technique avait déjà été adoptée par les opérateurs du kit d’exploitation HanJuan et tout récemment, par le malware d’espionnage PowerSniff.

D’après les informations de Carbon Black, le nouveau ransomware se propage via des spams contenant un fichier Word en pièce jointe qui serait une facture. Lorsque la victime potentielle ouvre le fichier, elle est invitée à activer une macro pour pouvoir bénéficier d’un affichage plus fidèle. Si l’utilisateur accepte la suggestion, le processus cmd.exe est créé, puis PowerShell est invoqué pour télécharger et exécuter le script malveillant. Dans ce cas précis, l’utilisation de PowerShell permet d’éviter l’enregistrement des fichiers sur le disque et permet au malware de s’intégrer aux activités légitimes sur l’ordinateur.

« Les macros servent à lancer PowerShell et à télécharger le script du ransomware » a expliqué Rico Valdez, analyse antivirus principal de Carbon Black, aux journalistes de Threatpost. De nombreux malwares sont diffusés via des macros dans des documents Word. Dans la majorité des cas, la macro télécharge un code binaire complémentaire et plus malveillant (backdoor, etc.). Ici, il n’y a pas de téléchargement de fichiers binaires complémentaires. PowerShell réalise toute la sale besogne (PowerShell est déjà présent pour des raisons totalement légitimes dans le système).

D’après Rico Valdez, le nouveau ransomware utilise également PowerShell pour chiffrer les fichiers après la compromission. L’expert a déclaré que l’application qui chiffre les fichiers est en réalité PowerShell. Le script correspondant est téléchargé et transmis à PowerShell. Donc, nous ne nous trouvons pas en présence d’un malware traditionnel. Aucun code exécutable complémentaire n’est requis. Il suffit d’un document texte (le script). »

Les fichiers de la victime sont chiffrés et la somme à payer pour obtenir la clé de chiffrement est égale à 500 dollars ; cette somme double deux semaines après l’infection.

PowerWare n’est pas le seul ransomware à utiliser des macros Microsoft Office pour lance l’infection, même si ces macros sont désactivées par défaut sur les ordinateurs Windows. Ce vecteur d’infection avait déjà été confirmé par Locky, qui avait infecté récemment le réseau d’institutions médicales à Hollywood et au Kentucky. Ceci étant dit, Locky utilisait des macros pour télécharger des fichiers sur les ordinateurs compromis alors que PowerWare tente de ne pas agir ainsi.

« Cette attaque repose sur la capacité de conviction de l’ingénierie sociale pour amener l’utilisateur à activer la macro » explique Rico Valdez. « Les macros sont fréquentes dans de nombreux documents Word et Excel, si bien que l’utilisateur peut ne pas soupçonner le danger. Tout dépend en réalité de son niveau de sophistication et de l’environnement de travail. »

Fonte: Threatpost

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *