Infos

Nouveautés de Cerber : proxy Tor2Web, redirections Google

Cisco surveille depuis la semaine dernière une campagne qui vise à diffuser une nouvelle version de Cerber via le service de redirection Google et les services proxy Tor2Web. D’après les informations récoltées par le service d’enquête Talos, les diffuseurs de ce ransomware comptent normalement sur la diffusion de spam très bien rédigé et accompagné d’une pièce jointe malveillante.

« Cette campagne se distingue par l’absence de pièce jointe dans le message qui est de petite taille, voire presque laconique » peut-on lire dans le blog des chercheurs. D’après Talos, cette nouvelle campagne de spam au profit de Cerber évoque les efforts réalisés pour diffuser Locky où des fichiers de script assurent la diffusion de ce ransomware.

Talos considère la campagne actuelle de Cerber comme une « nouvelle étape potentielle dans l’évolution des méthodes de diffusion de ransomware » avec l’exploitation massive de Tor et du Dark Web pour dissimuler les attaques et empêcher la riposte.

Comme Cisco l’a découvert, les diffuseurs de Cerber 5.0.1 ont fait une croix sur les pièces jointes et privilégient le spam avec des adresses Internet. Le message malveillant envoyé pour piéger l’utilisateur invite celui-ci à cliquer sur une lien afin de télécharger un fichier qui contiendrait des informations intéressants telles qu’une jolie photo, les détails d’une commande ou d’une transaction ou l’approbation d’un crédit.

« L’utilisateur qui clique sur ce lien est envoyé vers une redirection Google qui envoie le navigateur vers un document Word malveillant hébergé sur le Dark Web. Dans la mesure où l’accès au Dark Web requiert le navigateur Tor, les auteurs de l’attaque ont associé les redirections de Google au serveur proxy Tor2Web » explique Nick Biasini de chez Cisco Talos.

Le recours à Tor2Web permet aux attaquants d’héberger leurs fichiers dans le Dark Web, où ils seront difficile à trouver et à bloquer. Les chercheurs font remarquer que « l’utilisation de services proxy tels que Tor2Web permet d’accéder au réseau Tor sans devoir installer le client Tor localement sur le système de la victime. »

Comme l’explique Nick Biasini, « ce n’est pas la première fois que nous sommes confrontés à un ransomware qui utile Tor. Généralement, ce réseau intervient dans les communications avec le serveur de commande et la transmission aux victimes des avertissements qui contiennent la demande de rançon et les instructions sur l’utilisation des portefeuilles Bitcoin. La version la plus récente de Cerber (5.0.1) est intéressante pour les chercheurs car toute l’activité malveillante associée à ce malware est liée à Tor.

L’émergence de Cerber 5.0.1 ne marque pas la disparitions des incarnations et des techniques antérieures. D’après Nick Biasini, la grande majorité des représentants de cette famille est diffusée via des méthodes traditionnelles : via le kit d’exploitation RIG et en tant que pièce jointe dans le spam. « Cette campagne est importante car elle indique une nouvelle étape dans son développement ».

Le chiffreur Cerber est connu avant tout pour sa capacité à présenter ses exigences oralement. Sa première détection dans la nature remonte à février et à l’époque, il était souvent propagé à l’aide du kit d’exploitationMagnitude ou Nuclear. Au mois de mai, des observateurs de chez FireEye ont remarqué une augmentation sensible du flux de spam Cerber depuis des réseaux de zombies utilisés auparavant pour diffuser le malware bancaire Dridex. Et au mois d’août, nous avons découvert une version de Cerber diffusée selon le modèle des franchises. Nick Biasini a constaté que « Cerber a continué à modifier sa tactique au cours des derniers mois et qu’il évolue rapidement ».

D’après les informations des experts, le document Word utilisé dans la campagne actuelle contient une macro malveillante. « Si la victime ouvre le document MS Word malveillant et active l’exécution des macros, un downloader invoque Powershell à l’aide du processeur de commande Windows puis télécharge (via Tor2Web) et exécute le fichier PE32 de Cerber » peut-on lire dans le billet de Talos.

Cerber 5.0.1exige une rançon de 1,4 bitcoin (1 000 dollars américains.). Ce montant est doublé si la victime ne paie pas dans les cinq jours.

« Cette récente campagne malveillante confirme la poursuite de l’évolution de la menace des ransomwares. Les processus d’infection deviennent de plus en plus complexes, les auteurs des attaques testent de nouvelles méthodes dans le but d’éviter la détection et de compliquer l’analyse » expliquent les chercheurs.

Pour diminuer les risques, Talos conseille de bloquer tout le trafic Tor2Web et Tor dans le réseau de l’organisation. « Les entreprises doivent décider si Tor et Tor2Web sont vraiment indispensables à leurs activités et s’ils justifient la prise de tels risques pour les utilisateurs du réseau. »

Fonte: Threatpost

Nouveautés de Cerber : proxy Tor2Web, redirections Google

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Rapports

Etude des menaces mobiles en 2016

En 2016, l’augmentation du nombre de trojans publicitaires qui peuvent utiliser les autorisations root s’est maintenue. Sur l’ensemble de l’année, cette menace n’a jamais quitté la tête du classement et rien n’indique que cette tendance va changer pour l’instant.

Spam en 2016

Les flux de spam ont enregistré plusieurs modifications en 2016. La plus marquante d’entre elles a été l’augmentation de la diffusion de ransomwares. Etant donné la disponibilité de ce genre de malware sur le marché noir, il faut s’attendre à ce que cette tendance se maintienne et le volume de spam malveillant va certainement se maintenir en 2017.

Kaspersky Security Bulletin 2016. Rétrospective de l’année. Statistiques globales de l’année 2016

Les tensions et les remous ont été au rendez-vous dans le cyberespace en 2016, depuis les gigantesques réseaux de zombies de l’Internet des objets jusqu’aux campagnes de cyberespionnage ciblées en passant par le vol d’argent, l’hacktivisme et autres pratiques. La rétrospective et les statistiques présentées par Kaspersky Lab fournissent un compte-rendu détaillé. La synthèse, quant à elle, est accessible ici.

Kaspersky Security Bulletin 2016. La révolution du ransomware

De janvier à septembre 2016, les attaques de ransomwares contre des entreprises ont triplé, avec une attaque toutes les 40 secondes. Vu l’explosion des activités du secteur du ransomware en tant que service et le lancement du project NoMoreRansom, Kaspersky Lab a désigné le ransomware comme problématique clé en 2016.

Abonnez-vous à nos emails hebdomadaires

La recherche la plus excitante dans votre boîte de réception