securite informatique

Un site du gouvernement américain hébergeait un ransomware

no-image

Mercredi dernier encore, un site Internet du gouvernement américain hébergeait un downloader malveillant en JavaScript qui débouchait sur l’installation du ransomware Cerber chez les victimes.

Ankit Anubhav, chercheur chez NewSky Security, a annoncé sa découverte mercredi via Twitter et quelques heures plus tard, le site était mis hors ligne. Aucune information n’existe à l’heure actuelle sur les victimes potentielles.

La méthode employée pour installer le downloader sur un site .gov est elle-aussi inconnue. D’après Ankit Anubhav, soit le site a été piraté, soit il stocke peut-être des pièces jointes d’adresses email du gouvernement et le downloader avait été ainsi archivé.

Les chercheurs ont souligné de nombreux points communs avec la campagne de courrier indésirable Blank Slate qui avait propagé Cerber au début de cette année. Les messages électroniques de cette campagne contenait uniquement un double fichier zip et le deuxième d’entre eux contenait soit un fichier JavaScript malveillant, soit un document Microsoft Word malveillant. Les messages ne contenaient pas de texte et les experts croyaient à l’époque que tout ceci visait à éviter la détection.

Au moment de la publication de cet article, le Département de la Sécurité intérieure n’avait pas répondu aux nombreuses demandes d’informations.

Ankit Anubhav a expliqué que le site hébergeait une archive .zip qui contenait un JavaScript avec un PowerShell obfusqué. Le PowerShell télécharge un fichier gif qui est en réalité un exécutable de Cerber.

Cela fait plus d’un an que Cerber circule et comme la majorité des familles de ransomware de chiffrement, il a été propagé par des kits d’exploitation, des campagnes de spam et le même réseau de zombies que celui employé par le malware financier Dridex. Au début de cette année, des attaquants ont exploité une vulnérabilité Apache Struts critique sur des serveurs Windows pour placer Cerber sur les machines.

Ankit Anubhav et Mariano Palomo Villafranca, analyste de malware pour l’opérateur de téléphone espagnol Telefonica, ont publié aujourd’hui une analyse de l’attaque. Ils signalent que la majorité des sites .gov aux États-Unis sont classés dans les listes blanches par les services de réputation, ce qui en fait des hôtes de malware parfaits pour les attaquants qui souhaitent échapper à la détection.

Ankit Anubhav explique qu’une victime pouvait recevoir un lien qui la conduisait à une page hébergeant le fichier .zip et une fois qu’elle avait cliqué sur celui-ci, le fichier était exécuté, le JavaScript était extrait, ce qui lançait le PowerShell qui téléchargeait à son tour le malware depuis un domaine malveillant connu.

Ankit Anubhav explique : « ce PowerShell télécharge le malware depuis un site malveillant connu, puis l’exécute. Bien entendu, ces étapes se déroulent automatiquement et l’utilisateur final ne voit rien. »

Cerber est la charge utile et avant de chiffrer les fichiers sur l’hôte, il recherche la présence éventuelle de certains packs linguistiques pour la Communauté des États indépendants (CEI) sur l’ordinateur compromis avant de poursuivre.

Ankit Anubhav et Mariano Palomo Villafranca ont écrit que l’exécutable gif était un programme d’installation NSIS qui extrait le fichier de configuration JSON de Cerber. Au mois de mars, des chercheurs ont remarqué que les infections Cerber parvenaient à déjouer la détection en se cachant dans des programmes d’installation NSIS avant de s’exécuter. Des chercheurs de chez Deep Instinct ont déclaré à Threatpost que les versions 4 et 5.1 de Cerber et de nombreuses versions de Locky utilisaient cette technique, tout comme différentes versions de Cryptolocker et Cryptowall.

NSIS, qui est l’abréviation de Nullsoft Scriptable Install System, est un système open source utilisé pour construire des programmes d’installation Windows.

À l’instar d’autres ransomwares, Cerber envoie la clé de déchiffrement qui permet aux utilisateurs de récupérer les données chiffrées contre le paiement d’une rançon en Bitcoins. Les premières versions du malware étaient vendues sous le schéma de malware en tant que service et d’autres étaient codées pour obliger l’ordinateur de la victime à parler à celle-ci et lui répéter encore et encore que les documents et les fichiers avaient été chiffrés.

Source : Threatpost