Nuclear mobilité pour la livraison de CryptoWall 4.0

La version la plus récente du ransomware CryptoWall a commencé à se propager via un kit d’exploitation. Au cours du week-end dernier, des chercheurs du centre SANS spécialisés dans les menaces réseau ont découvert que les exploitants de Nuclear, qui ont enregistré leurs domaines chez BizCN, ont ajouté une nouvelle offre à leur liste de téléchargements utiles.

Dans un billet sur le blog publié mardi de la semaine dernière, l’expert en sécurité de l’information Rackspace et le collaborateur permanent de l’ISC SANS Brad Duncan ont signalé que jusqu’il y a peu CryptoWall 4.0 se diffusait sous la forme d’une pièce jointe dans des messages de spam. C’est la premièrfois que le chercheur observe l’utilisation d’un kit d’exploitation à cette fin.

« La propagation de la version 4.0 pour remplacer CryptoWall 3.0 n’est pas une surprise » a déclaré Brad Duncan à Threatpost. « Une situation similaire s’était présentée en 2014 lorsque CryptoWall 2.0 avait remplacé CryptoWall. La mise à jour n’avait pas été ponctuelle. Elle avait débuté par du spam malveillant, puis les kits d’exploitation étaient entrés en scène. Les diffuseurs de CryptoWall 4.0 ont également commencé à utiliser des kits d’exploitation, mais cela ne signifie pas qu’ils vont tous être utilisés en même temps. La propagation va débuter par un kit, puis un deuxième va se joindre au processus, puis un troisième et un moment donné, ils chargeront tous la nouvelle version ».

Le groupe criminel qui utilise les services de la société d’enregistrement chinoise a modifié récemment l’adresse IP pour les domaines « passerelles » qui servent d’intermédiaire entre les sites compromis pour la redirection et les serveurs qui hébergent Nuclear. « Le serveur-passerelle reçoit les informations relatives au système d’exploitation et au type de navigateur sur la base de la ligne de l’agent de l’utilisateur de l’en-tête HTTP de la requête envoyée par la victime potentielle » nous dit Brad Duncan dans le cadre de son explication sur les attaques par code d’exploitation. La réponse du serveur passerelle dépend de ces données. Si le système d’exploitation n’est pas un système d’exploitation Windows, la passerelle BizCN renvoie une erreur 404 (rien ne sert de gaspiller des ressources sur un hôte qui ne possède pas les vulnérabilités requises). Si la ligne de l’agent de l’utilisateur indique Windows, le serveur passerelle renvoie 200 OK et dirige le trafic vers le serveur qui hébergent les codes d’exploitation ».

Dans le billet publié sur le site de l’ISC SANS, le chercheur fournit des exemples de modèles d’URL découvertes dans le trafic des passerelles BizCN ainsi que d’autres indices de compromission. Brad Duncan émet également l’hypothèse que les propriétaires de CryptoWall 4.0 ne vont pas se limiter à Nuclear et vont profiter d’autres kits d’exploitation, dont Angler. Le spam sera conservé comme méthode de propagation alternative. « Ils ne vont pas abandonner le spam » explique l’expert. « La diffusion de CryptoWall 4.0 via des kits d’exploitation va prendre de l’ampleur, mais cela ne signifie pas la fin des campagnes de spam malveillant. Nous sommes seulement témoins de la substitution de la version 3 par une version plus récente. Certains groupes criminels vont diffuser la version 4.0 via le spam, tandis que d’autres vont choisir les kits d’exploitation ».

Brad Duncan a également remarqué des différences entre la version la plus récente du ransomware et la version antérieure. Ainsi, dans la demande de rançon, le nom du malware apparaît simplement comme CryptoWall, sans numéro de version. De même, CryptoWall 4.0 n’enregistre pas l’adresse IP de la victime comme s’était le cas avant : « Le trafic réseau de CryptoWall 4.0 est pratiquement identique à ce que nous avions pu voir dans le cas de la version 3.0, à l’exception de l’absence de vérification de l’adresse IP. A l’heure actuelle, les signatures de Snort, obtenues lors de la connexion de CryptoWall 3.0 au centre de commande sont valides pour la version 4.0 également.

Source: Threatpost

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *