Infos

Un programme d’escroquerie bloque la navigation et collecte des cryptodevises

Les experts d'Emisoft, société autrichienne de sécurité informatique, ont découvert un cheval de Troie Windows qui substituent les paramètres DNS et bloquent le navigateur sur la page standard reprenant les détails de la rançon à payer. Le programme malveillant, baptisé Linkup, télécharge et lance une application très performante pour la génération de ProtoShares (PTS), une autre cryptodevise créée selon le modèle de Bitcoin. 

Une fois lancé, Linkup se copie dans le répertoire %AppData%MicrosoftWindows sous le nom svchost.exe qui prête à confusion. Pour identifier sa présence dans le système, le cheval de Troie crée le sémaphore mutex tnd990r ou tnd990s et élimine les interférences potentielles en désactivant une série de services de la protection système et le pare-feu. Quand il s'est retranché sur l'ordinateur infecté, Linkup envoie au serveur de commande son ID, la version de Windows et la langue du système et il reçoit en réponse l'adresse IP du site affichant la page d'escroquerie. Toutes les données échangées entre le centre de commande et le programme malveillant sont chiffrées. 

Dès cet instant, chaque fois que la victime de l'infection tentera d'exécuter une requête HTTP, il sera redirigé vers une page lui signalant qu'elle a commis une infraction comme consulter du contenu interdit. Pour consolider la redirection, Linkup introduit des modifications dans le registre système (substitue l'adresse du serveur NS) et actualise les paramètres des composants réseau afin que les modifications entrent directement en vigueur.  

Pour débloquer l'accès à Internet, les escrocs, qui se font passer pour un organisme officiel (dans le cas de la capture d'écran fournie par Emisoft, il s'agit du Conseil de l'Europe), demandent avant tout à la victime de confirmer son identité en saisissant son nom, son prénom, sa date de naissance et sa méthode de paiement préférée dans un formulaire. L'amende de l'utilisateur est établie à 0,01 euro seulement, mais les experts doutent que les escrocs se contentent d'une somme aussi modeste. Quoi qu'il en soit, Emisoft déconseille aux victimes de l'infection d'accéder aux demandes des escrocs et encore moins de communiquer leurs données personnelles.

Linkup reçoit une autre commande du centre de commande : télécharger et installer le fichier pts2.exe. Les experts ont déterminé qu'il s'agissait d'un downloader qui téléchargeait à son tour une archive autoextractible RAR contenant des scripts et un fichier exécutable PE. Ce dernier contient jhProtominer, une application spécialisée dans la génération de ProtoShares. D'après Emisoft, ce programme téléchargé par Linkup ne fonctionne que sur les plateformes 64 bits. Il est tout à fait possible que la fonction complémentaire ne soit qu'un essai pour l'instant et que des versions 32 bits de jhProtominer apparaissent prochainement.

http://techcrunch.com/2014/02/06/new-ransomware-blocks-your-dns-connection-and-forces-your-computer-to-mine-bitcoins/

Un programme d’escroquerie bloque la navigation et collecte des cryptodevises

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Rapports

Etude des menaces mobiles en 2016

En 2016, l’augmentation du nombre de trojans publicitaires qui peuvent utiliser les autorisations root s’est maintenue. Sur l’ensemble de l’année, cette menace n’a jamais quitté la tête du classement et rien n’indique que cette tendance va changer pour l’instant.

Spam en 2016

Les flux de spam ont enregistré plusieurs modifications en 2016. La plus marquante d’entre elles a été l’augmentation de la diffusion de ransomwares. Etant donné la disponibilité de ce genre de malware sur le marché noir, il faut s’attendre à ce que cette tendance se maintienne et le volume de spam malveillant va certainement se maintenir en 2017.

Kaspersky Security Bulletin 2016. Rétrospective de l’année. Statistiques globales de l’année 2016

Les tensions et les remous ont été au rendez-vous dans le cyberespace en 2016, depuis les gigantesques réseaux de zombies de l’Internet des objets jusqu’aux campagnes de cyberespionnage ciblées en passant par le vol d’argent, l’hacktivisme et autres pratiques. La rétrospective et les statistiques présentées par Kaspersky Lab fournissent un compte-rendu détaillé. La synthèse, quant à elle, est accessible ici.

Kaspersky Security Bulletin 2016. La révolution du ransomware

De janvier à septembre 2016, les attaques de ransomwares contre des entreprises ont triplé, avec une attaque toutes les 40 secondes. Vu l’explosion des activités du secteur du ransomware en tant que service et le lancement du project NoMoreRansom, Kaspersky Lab a désigné le ransomware comme problématique clé en 2016.

Abonnez-vous à nos emails hebdomadaires

La recherche la plus excitante dans votre boîte de réception