Infos

RAA, un ransomware 100% JavaScript

Les chercheurs de Bleeping Computer ont présenté les résultats de leur analyse du ransomware de chiffrement RAA développé exclusivement en JavaScript. D’après Lawrence Abrams, auteur du billet du blog, le nouveau ransomware se propage via des pièces jointes malveillantes dissimulées en tant que document Word.

Ce sont les chercheurs en sécurité de l’information @JAMES_MHT et @benkow_ qui ont été les premiers à découvrir RAA et ils ont partagé leur découverte via Twitter. Dans la mesure où la version standard de JavaScript ne possède pas de fonctions de chiffrement avancées, les auteurs du malware ont exploité les possibilités de CryptoJS, une bibliothèque dont le code source est libre et qui contient des algorithmes tels que AES, DES, etc.

Dans le cas qui nous occupe, RAA chiffre les fichiers de la victime à l’aide d’une clé AES de 256 bits. Il installe également une version du voleur de mots de passe Pony, introduit dans le fichier JS sous la forme d’une ligne codée en base64.

« Les attaques sur la base de JavaScript vont devenir de plus en plus populaires, mais dans la majorité des cas, le malware est un code compilé » a déclaré Lawrence Abrams dans un entretien accordé mardi dernier à Threatpost. « Je pense que l’augmentation du nombre d’installateurs développés en JS s’explique par le fait qu’ils sont plus simples à composer et à réparer. »

« Les auteurs de virus adoptent également l’obfuscation pour compliquer la tâche des scanners antivirus ; ainsi, ce fichier JS est actuellement détecté 6 fois sur 44 » a ajouté l’expert en s’appuyant sur des données de VirusTotal (ce rapport n’a toujours pas changé).

A l’instar de bon nombre de ses confrères, RAA chiffre les images, les documents Word et Excel, les fichiers Photoshop, les archivez .zip et .rar en épargnant les fichiers Program, Windows, AppData et Microsoft. L’extension .locked est ajoutée à la fin de chaque fichier chiffré. La demande de rançon est rédigée en russe. La victime est invitée à envoyer l’identifiant repris dans le message à l’adresse @keemail.me, à déchiffrer quelques fichiers à titre d’essai pour confirmer l’utilité de l’outil de déchiffrement et à envoyer 0,39 bitcoin (environ 250 dollars) aux exploitants de RAA.

La rentabilité de ce projet n’a pas encore pu être déterminée. D’après Lawrence Abrams, le fichier malveillant JS a été ouvert en l’espace de quelques jours par 65 utilisateurs mais depuis lors, le serveur de commande de RAAA a été mis hors ligne.

Au début de cet année, Fabian Wosar, expert chez Emisoft, avait découvert un ransomware similaire créé à l’aide de Node.js et compacté dans un fichier exécutable. Toutefois, RAA est le premier ransomware diffusé en tant que fichier JS standard à apparaître sur le radar des chercheurs.

Fonte: Threatpost

RAA, un ransomware 100% JavaScript

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Rapports

Etude des menaces mobiles en 2016

En 2016, l’augmentation du nombre de trojans publicitaires qui peuvent utiliser les autorisations root s’est maintenue. Sur l’ensemble de l’année, cette menace n’a jamais quitté la tête du classement et rien n’indique que cette tendance va changer pour l’instant.

Spam en 2016

Les flux de spam ont enregistré plusieurs modifications en 2016. La plus marquante d’entre elles a été l’augmentation de la diffusion de ransomwares. Etant donné la disponibilité de ce genre de malware sur le marché noir, il faut s’attendre à ce que cette tendance se maintienne et le volume de spam malveillant va certainement se maintenir en 2017.

Kaspersky Security Bulletin 2016. Rétrospective de l’année. Statistiques globales de l’année 2016

Les tensions et les remous ont été au rendez-vous dans le cyberespace en 2016, depuis les gigantesques réseaux de zombies de l’Internet des objets jusqu’aux campagnes de cyberespionnage ciblées en passant par le vol d’argent, l’hacktivisme et autres pratiques. La rétrospective et les statistiques présentées par Kaspersky Lab fournissent un compte-rendu détaillé. La synthèse, quant à elle, est accessible ici.

Kaspersky Security Bulletin 2016. La révolution du ransomware

De janvier à septembre 2016, les attaques de ransomwares contre des entreprises ont triplé, avec une attaque toutes les 40 secondes. Vu l’explosion des activités du secteur du ransomware en tant que service et le lancement du project NoMoreRansom, Kaspersky Lab a désigné le ransomware comme problématique clé en 2016.

Abonnez-vous à nos emails hebdomadaires

La recherche la plus excitante dans votre boîte de réception