Infos

Ransomware JavaScript en tant que service

Le phénomène des malwares en tant que service n’est pas une nouveauté. Les forums clandestins regorgent de publicités, non seulement pour des outils, mais également pour des services d’administration et de support technique pour des Trojans bancaires, des kits d’exploitation, etc.

Au tout début de ce mois de janvier, des chercheurs ont publié les résultats de l’analyse d’un nouveau service RaaS (ransomware-as-a-service, ransomware en tant que service) basé sur un malware de chiffrement créé à l’aide de la technologie JavaScript. Ransom32 peut être téléchargé depuis un serveur dissimulé dans le réseau Tor ; l’abonné doit simplement indiquer une adresse Bitcoin pour recevoir un revenu de l’escroquerie.

Le malware en question a été créé à l’aide de la plateforme légitime NW.js. Il est capable de rechercher et de chiffrer des dizaines de type de fichier et exige le versement de la rançon en cryptodevise. Les auteurs de Ransom32 reçoivent une commission de 25 % sur chaque transaction.

L’abonné au service RaaS a également accès à une interface d’administration qui permet de personnaliser les messages envoyés à la victime de l’infection, de définir le montant de la rançon, de bloquer l’écran de l’ordinateur infecté, de réduire la charge sur le processeur lors du chiffrement et de définir le délai d’attente. Nous disposons de quelques statistiques : le nombre total d’installations, le nombre de victimes qui ont payé et le montant des revenus en bitcoins.

Ransom32 a été mentionné pour la première fois dans les forums de BleepingComputer, après qu’un échantillon du malware avait été analysé par Emsisoft. D’après le témoignage du chercheur Fabian Wosar, la taille du fichier téléchargé lors de cette analyse était assez importante (22 Mo), ce qui est inhabituel pour un malware de chiffrement. Le malware se présentait sous la forme d’une archive WinRAR contenant plusieurs fichiers, dont un fichier exécutable Chromium masqué sous le navigateur Chrome. Il s’agissait en réalité de l’application NW.js qui contenait le code malveillant et son environnement d’exécution.

Il faut signaler que la plateforme NW.js permet de créer des applications JavaScript pour ordinateurs de bureau tournant non seulement sous Windows, mais également sous Mac OS X et Linux. « En général JavaScript est isolé par le bac à sable et n’est pas vraiment en mesure d’avoir des échanges avec le système d’exploitation sous lequel il est exécuté » explique Fabian Wosar. « NW.js offre plus de liberté au niveau de l’interaction avec le système d’exploitation, ce qui permet à JavaScript d’agir presque dans le même volume que celui qui est accessible aux langages de programmations traditionnels comme C++ et Delphi. Pour le développeur, ceci constitue un énorme avantage car il peut transformer assez facilement son application Web en application de bureau. Pour les développeurs d’applications de bureau traditionnelles, NW.js est utile en ce sens qu’il permet d’exécuter le même JavaScript sur différentes plateformes. Autrement dit, une application NW.js peut être créée une fois et être exécutée directement sous Windows, Linux et Mac OS X. »

A l’heure actuelle, et d’après les informations d’Emsisoft, Ransom32 attaque uniquement les systèmes Windows. Toutefois, il suffirait de quelques modifications seulement pour le transformer en une menace multiplateforme.

Le comportement de ce ransomware est semblable à celui d’autres représentants de cette catégorie. Sa distribution renferme un client Tor que Ransom32 utilise pour contacter le serveur de commande et le portefeuille Bitcoin où les victimes paient la rançon. Cette connexion sert également à échanger les clés de chiffrement.

« Le service RaaS Ransom32 est dangereux car JavaScript et HTML sont des technologies multiplateformes : elles fonctionnent sur Mac, sur Linux et sur Windows » met en garde Lawrence Abrams de chez BleepingComputer. « Cela signifie que les développeurs de Ransom32 peuvent aisément produire des paquets NW.js pour Linux et Mac en introduisant de petites modifications. Rien n’indique pour l’instant que cette transformation a eu lieu, mais elle pourrait s’opérer sans grandes difficultés. L’émergence de ransomwares pour des systèmes autres que Windows est inévitable. Et l’utilisation de plateforme similaire à NW.js va accélérer le processus ».

Source: Threatpost

Ransomware JavaScript en tant que service

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Rapports

Etude des menaces mobiles en 2016

En 2016, l’augmentation du nombre de trojans publicitaires qui peuvent utiliser les autorisations root s’est maintenue. Sur l’ensemble de l’année, cette menace n’a jamais quitté la tête du classement et rien n’indique que cette tendance va changer pour l’instant.

Spam en 2016

Les flux de spam ont enregistré plusieurs modifications en 2016. La plus marquante d’entre elles a été l’augmentation de la diffusion de ransomwares. Etant donné la disponibilité de ce genre de malware sur le marché noir, il faut s’attendre à ce que cette tendance se maintienne et le volume de spam malveillant va certainement se maintenir en 2017.

Kaspersky Security Bulletin 2016. Rétrospective de l’année. Statistiques globales de l’année 2016

Les tensions et les remous ont été au rendez-vous dans le cyberespace en 2016, depuis les gigantesques réseaux de zombies de l’Internet des objets jusqu’aux campagnes de cyberespionnage ciblées en passant par le vol d’argent, l’hacktivisme et autres pratiques. La rétrospective et les statistiques présentées par Kaspersky Lab fournissent un compte-rendu détaillé. La synthèse, quant à elle, est accessible ici.

Kaspersky Security Bulletin 2016. La révolution du ransomware

De janvier à septembre 2016, les attaques de ransomwares contre des entreprises ont triplé, avec une attaque toutes les 40 secondes. Vu l’explosion des activités du secteur du ransomware en tant que service et le lancement du project NoMoreRansom, Kaspersky Lab a désigné le ransomware comme problématique clé en 2016.

Abonnez-vous à nos emails hebdomadaires

La recherche la plus excitante dans votre boîte de réception