Nouveautés de Cerber : proxy Tor2Web, redirections Google

Cisco surveille depuis la semaine dernière une campagne qui vise à diffuser une nouvelle version de Cerber via le service de redirection Google et les services proxy Tor2Web. D’après les informations récoltées par le service d’enquête Talos, les diffuseurs de ce ransomware comptent normalement sur la diffusion de spam très bien rédigé et accompagné d’une pièce jointe malveillante.

« Cette campagne se distingue par l’absence de pièce jointe dans le message qui est de petite taille, voire presque laconique » peut-on lire dans le blog des chercheurs. D’après Talos, cette nouvelle campagne de spam au profit de Cerber évoque les efforts réalisés pour diffuser Locky où des fichiers de script assurent la diffusion de ce ransomware.

Talos considère la campagne actuelle de Cerber comme une « nouvelle étape potentielle dans l’évolution des méthodes de diffusion de ransomware » avec l’exploitation massive de Tor et du Dark Web pour dissimuler les attaques et empêcher la riposte.

Comme Cisco l’a découvert, les diffuseurs de Cerber 5.0.1 ont fait une croix sur les pièces jointes et privilégient le spam avec des adresses Internet. Le message malveillant envoyé pour piéger l’utilisateur invite celui-ci à cliquer sur une lien afin de télécharger un fichier qui contiendrait des informations intéressants telles qu’une jolie photo, les détails d’une commande ou d’une transaction ou l’approbation d’un crédit.

« L’utilisateur qui clique sur ce lien est envoyé vers une redirection Google qui envoie le navigateur vers un document Word malveillant hébergé sur le Dark Web. Dans la mesure où l’accès au Dark Web requiert le navigateur Tor, les auteurs de l’attaque ont associé les redirections de Google au serveur proxy Tor2Web » explique Nick Biasini de chez Cisco Talos.

Le recours à Tor2Web permet aux attaquants d’héberger leurs fichiers dans le Dark Web, où ils seront difficile à trouver et à bloquer. Les chercheurs font remarquer que « l’utilisation de services proxy tels que Tor2Web permet d’accéder au réseau Tor sans devoir installer le client Tor localement sur le système de la victime. »

Comme l’explique Nick Biasini, « ce n’est pas la première fois que nous sommes confrontés à un ransomware qui utile Tor. Généralement, ce réseau intervient dans les communications avec le serveur de commande et la transmission aux victimes des avertissements qui contiennent la demande de rançon et les instructions sur l’utilisation des portefeuilles Bitcoin. La version la plus récente de Cerber (5.0.1) est intéressante pour les chercheurs car toute l’activité malveillante associée à ce malware est liée à Tor.

L’émergence de Cerber 5.0.1 ne marque pas la disparitions des incarnations et des techniques antérieures. D’après Nick Biasini, la grande majorité des représentants de cette famille est diffusée via des méthodes traditionnelles : via le kit d’exploitation RIG et en tant que pièce jointe dans le spam. « Cette campagne est importante car elle indique une nouvelle étape dans son développement ».

Le chiffreur Cerber est connu avant tout pour sa capacité à présenter ses exigences oralement. Sa première détection dans la nature remonte à février et à l’époque, il était souvent propagé à l’aide du kit d’exploitationMagnitude ou Nuclear. Au mois de mai, des observateurs de chez FireEye ont remarqué une augmentation sensible du flux de spam Cerber depuis des réseaux de zombies utilisés auparavant pour diffuser le malware bancaire Dridex. Et au mois d’août, nous avons découvert une version de Cerber diffusée selon le modèle des franchises. Nick Biasini a constaté que « Cerber a continué à modifier sa tactique au cours des derniers mois et qu’il évolue rapidement ».

D’après les informations des experts, le document Word utilisé dans la campagne actuelle contient une macro malveillante. « Si la victime ouvre le document MS Word malveillant et active l’exécution des macros, un downloader invoque Powershell à l’aide du processeur de commande Windows puis télécharge (via Tor2Web) et exécute le fichier PE32 de Cerber » peut-on lire dans le billet de Talos.

Cerber 5.0.1exige une rançon de 1,4 bitcoin (1 000 dollars américains.). Ce montant est doublé si la victime ne paie pas dans les cinq jours.

« Cette récente campagne malveillante confirme la poursuite de l’évolution de la menace des ransomwares. Les processus d’infection deviennent de plus en plus complexes, les auteurs des attaques testent de nouvelles méthodes dans le but d’éviter la détection et de compliquer l’analyse » expliquent les chercheurs.

Pour diminuer les risques, Talos conseille de bloquer tout le trafic Tor2Web et Tor dans le réseau de l’organisation. « Les entreprises doivent décider si Tor et Tor2Web sont vraiment indispensables à leurs activités et s’ils justifient la prise de tels risques pour les utilisateurs du réseau. »

Fonte: Threatpost

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *