RAA, un ransomware 100% JavaScript

Les chercheurs de Bleeping Computer ont présenté les résultats de leur analyse du ransomware de chiffrement RAA développé exclusivement en JavaScript. D’après Lawrence Abrams, auteur du billet du blog, le nouveau ransomware se propage via des pièces jointes malveillantes dissimulées en tant que document Word.

Ce sont les chercheurs en sécurité de l’information @JAMES_MHT et @benkow_ qui ont été les premiers à découvrir RAA et ils ont partagé leur découverte via Twitter. Dans la mesure où la version standard de JavaScript ne possède pas de fonctions de chiffrement avancées, les auteurs du malware ont exploité les possibilités de CryptoJS, une bibliothèque dont le code source est libre et qui contient des algorithmes tels que AES, DES, etc.

Dans le cas qui nous occupe, RAA chiffre les fichiers de la victime à l’aide d’une clé AES de 256 bits. Il installe également une version du voleur de mots de passe Pony, introduit dans le fichier JS sous la forme d’une ligne codée en base64.

« Les attaques sur la base de JavaScript vont devenir de plus en plus populaires, mais dans la majorité des cas, le malware est un code compilé » a déclaré Lawrence Abrams dans un entretien accordé mardi dernier à Threatpost. « Je pense que l’augmentation du nombre d’installateurs développés en JS s’explique par le fait qu’ils sont plus simples à composer et à réparer. »

« Les auteurs de virus adoptent également l’obfuscation pour compliquer la tâche des scanners antivirus ; ainsi, ce fichier JS est actuellement détecté 6 fois sur 44 » a ajouté l’expert en s’appuyant sur des données de VirusTotal (ce rapport n’a toujours pas changé).

A l’instar de bon nombre de ses confrères, RAA chiffre les images, les documents Word et Excel, les fichiers Photoshop, les archivez .zip et .rar en épargnant les fichiers Program, Windows, AppData et Microsoft. L’extension .locked est ajoutée à la fin de chaque fichier chiffré. La demande de rançon est rédigée en russe. La victime est invitée à envoyer l’identifiant repris dans le message à l’adresse @keemail.me, à déchiffrer quelques fichiers à titre d’essai pour confirmer l’utilité de l’outil de déchiffrement et à envoyer 0,39 bitcoin (environ 250 dollars) aux exploitants de RAA.

La rentabilité de ce projet n’a pas encore pu être déterminée. D’après Lawrence Abrams, le fichier malveillant JS a été ouvert en l’espace de quelques jours par 65 utilisateurs mais depuis lors, le serveur de commande de RAAA a été mis hors ligne.

Au début de cet année, Fabian Wosar, expert chez Emisoft, avait découvert un ransomware similaire créé à l’aide de Node.js et compacté dans un fichier exécutable. Toutefois, RAA est le premier ransomware diffusé en tant que fichier JS standard à apparaître sur le radar des chercheurs.

Fonte: Threatpost

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *