Un programme d’escroquerie bloque la navigation et collecte des cryptodevises

Les experts d'Emisoft, société autrichienne de sécurité informatique, ont découvert un cheval de Troie Windows qui substituent les paramètres DNS et bloquent le navigateur sur la page standard reprenant les détails de la rançon à payer. Le programme malveillant, baptisé Linkup, télécharge et lance une application très performante pour la génération de ProtoShares (PTS), une autre cryptodevise créée selon le modèle de Bitcoin. 

Une fois lancé, Linkup se copie dans le répertoire %AppData%MicrosoftWindows sous le nom svchost.exe qui prête à confusion. Pour identifier sa présence dans le système, le cheval de Troie crée le sémaphore mutex tnd990r ou tnd990s et élimine les interférences potentielles en désactivant une série de services de la protection système et le pare-feu. Quand il s'est retranché sur l'ordinateur infecté, Linkup envoie au serveur de commande son ID, la version de Windows et la langue du système et il reçoit en réponse l'adresse IP du site affichant la page d'escroquerie. Toutes les données échangées entre le centre de commande et le programme malveillant sont chiffrées. 

Dès cet instant, chaque fois que la victime de l'infection tentera d'exécuter une requête HTTP, il sera redirigé vers une page lui signalant qu'elle a commis une infraction comme consulter du contenu interdit. Pour consolider la redirection, Linkup introduit des modifications dans le registre système (substitue l'adresse du serveur NS) et actualise les paramètres des composants réseau afin que les modifications entrent directement en vigueur.  

Pour débloquer l'accès à Internet, les escrocs, qui se font passer pour un organisme officiel (dans le cas de la capture d'écran fournie par Emisoft, il s'agit du Conseil de l'Europe), demandent avant tout à la victime de confirmer son identité en saisissant son nom, son prénom, sa date de naissance et sa méthode de paiement préférée dans un formulaire. L'amende de l'utilisateur est établie à 0,01 euro seulement, mais les experts doutent que les escrocs se contentent d'une somme aussi modeste. Quoi qu'il en soit, Emisoft déconseille aux victimes de l'infection d'accéder aux demandes des escrocs et encore moins de communiquer leurs données personnelles.

Linkup reçoit une autre commande du centre de commande : télécharger et installer le fichier pts2.exe. Les experts ont déterminé qu'il s'agissait d'un downloader qui téléchargeait à son tour une archive autoextractible RAR contenant des scripts et un fichier exécutable PE. Ce dernier contient jhProtominer, une application spécialisée dans la génération de ProtoShares. D'après Emisoft, ce programme téléchargé par Linkup ne fonctionne que sur les plateformes 64 bits. Il est tout à fait possible que la fonction complémentaire ne soit qu'un essai pour l'instant et que des versions 32 bits de jhProtominer apparaissent prochainement.

http://techcrunch.com/2014/02/06/new-ransomware-blocks-your-dns-connection-and-forces-your-computer-to-mine-bitcoins/

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *