Ransomware JavaScript en tant que service

Le phénomène des malwares en tant que service n’est pas une nouveauté. Les forums clandestins regorgent de publicités, non seulement pour des outils, mais également pour des services d’administration et de support technique pour des Trojans bancaires, des kits d’exploitation, etc.

Au tout début de ce mois de janvier, des chercheurs ont publié les résultats de l’analyse d’un nouveau service RaaS (ransomware-as-a-service, ransomware en tant que service) basé sur un malware de chiffrement créé à l’aide de la technologie JavaScript. Ransom32 peut être téléchargé depuis un serveur dissimulé dans le réseau Tor ; l’abonné doit simplement indiquer une adresse Bitcoin pour recevoir un revenu de l’escroquerie.

Le malware en question a été créé à l’aide de la plateforme légitime NW.js. Il est capable de rechercher et de chiffrer des dizaines de type de fichier et exige le versement de la rançon en cryptodevise. Les auteurs de Ransom32 reçoivent une commission de 25 % sur chaque transaction.

L’abonné au service RaaS a également accès à une interface d’administration qui permet de personnaliser les messages envoyés à la victime de l’infection, de définir le montant de la rançon, de bloquer l’écran de l’ordinateur infecté, de réduire la charge sur le processeur lors du chiffrement et de définir le délai d’attente. Nous disposons de quelques statistiques : le nombre total d’installations, le nombre de victimes qui ont payé et le montant des revenus en bitcoins.

Ransom32 a été mentionné pour la première fois dans les forums de BleepingComputer, après qu’un échantillon du malware avait été analysé par Emsisoft. D’après le témoignage du chercheur Fabian Wosar, la taille du fichier téléchargé lors de cette analyse était assez importante (22 Mo), ce qui est inhabituel pour un malware de chiffrement. Le malware se présentait sous la forme d’une archive WinRAR contenant plusieurs fichiers, dont un fichier exécutable Chromium masqué sous le navigateur Chrome. Il s’agissait en réalité de l’application NW.js qui contenait le code malveillant et son environnement d’exécution.

Il faut signaler que la plateforme NW.js permet de créer des applications JavaScript pour ordinateurs de bureau tournant non seulement sous Windows, mais également sous Mac OS X et Linux. « En général JavaScript est isolé par le bac à sable et n’est pas vraiment en mesure d’avoir des échanges avec le système d’exploitation sous lequel il est exécuté » explique Fabian Wosar. « NW.js offre plus de liberté au niveau de l’interaction avec le système d’exploitation, ce qui permet à JavaScript d’agir presque dans le même volume que celui qui est accessible aux langages de programmations traditionnels comme C++ et Delphi. Pour le développeur, ceci constitue un énorme avantage car il peut transformer assez facilement son application Web en application de bureau. Pour les développeurs d’applications de bureau traditionnelles, NW.js est utile en ce sens qu’il permet d’exécuter le même JavaScript sur différentes plateformes. Autrement dit, une application NW.js peut être créée une fois et être exécutée directement sous Windows, Linux et Mac OS X. »

A l’heure actuelle, et d’après les informations d’Emsisoft, Ransom32 attaque uniquement les systèmes Windows. Toutefois, il suffirait de quelques modifications seulement pour le transformer en une menace multiplateforme.

Le comportement de ce ransomware est semblable à celui d’autres représentants de cette catégorie. Sa distribution renferme un client Tor que Ransom32 utilise pour contacter le serveur de commande et le portefeuille Bitcoin où les victimes paient la rançon. Cette connexion sert également à échanger les clés de chiffrement.

« Le service RaaS Ransom32 est dangereux car JavaScript et HTML sont des technologies multiplateformes : elles fonctionnent sur Mac, sur Linux et sur Windows » met en garde Lawrence Abrams de chez BleepingComputer. « Cela signifie que les développeurs de Ransom32 peuvent aisément produire des paquets NW.js pour Linux et Mac en introduisant de petites modifications. Rien n’indique pour l’instant que cette transformation a eu lieu, mais elle pourrait s’opérer sans grandes difficultés. L’émergence de ransomwares pour des systèmes autres que Windows est inévitable. Et l’utilisation de plateforme similaire à NW.js va accélérer le processus ».

Source: Threatpost

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *