Un nouveau Fallout Exploit kit a été détecté qui est utilisé pour propager des chevaux de Troie et des logiciels de rançon le ransomware GandCrab. Le Fallout exploit kit est resté inconnu jusqu’en août 2018, date à laquelle il a été identifié par le chercheur en sécurité Nao_sec.
Zoom sur le nouveau Fallout exploit kit
Nao_sec a observé que le Fallout Exploit kit était utilisé pour fournir SmokeLoader – une variante de malware dont le but est de télécharger d’autres types de malware.
Nao_sec a déterminé qu’une fois SmokeLoader installé, il a téléchargé deux autres variantes de logiciels malveillants – une variante de logiciel malveillant inconnue auparavant et CoalaBot – un bot DDos HTTP basé sur le code August Stealer.
Depuis la découverte du Fallout exploit kit en août, les chercheurs de FireEye ont observé le téléchargement du logiciel de rançon GandCrab sur des appareils Windows vulnérables.
Alors que les utilisateurs de Windows sont ciblés par le groupe de menace derrière Fallout, les utilisateurs de MacOS ne sont pas ignorés. Si un utilisateur de MacOS rencontre Fallout, il est redirigé vers des pages web qui tentent de tromper les visiteurs en téléchargeant une fausse mise à jour Adobe Flash Player ou un faux logiciel antivirus.
Dans le premier cas, l’utilisateur est informé que sa version d’Adobe Flash Player est obsolète et doit être mise à jour. Dans ce dernier cas, l’utilisateur est informé que son Mac peut contenir des virus, et il est invité à installer un faux programme antivirus qui, selon le site web, supprimera tous les virus de son appareil.
Le Fallout Exploit kit est installé sur des pages Web qui ont été compromises par l’attaquant – des sites avec des mots de passe faibles qui ont été forcés à la brute et ceux qui ont des installations CMS obsolètes ou d’autres vulnérabilités qui ont été exploitées pour avoir accès.
Les deux vulnérabilités exploitées par le Fallout Exploit kit sont la vulnérabilité de Windows VBScript Engine – CVE-2018-8174 – et la vulnérabilité d’Adobe Flash Player – CVE-2018-4878, toutes deux identifiées et corrigées en 2018.
Le Fallout exploit kit tentera d’exploiter d’abord la vulnérabilité VBScript, et si cela échoue, une tentative sera faite pour exploiter la vulnérabilité Flash. L’exploitation réussie de l’une ou l’autre de ces vulnérabilités entraînera le téléchargement silencieux de GandCrab Ransomware.
La première étape du processus d’infection, si l’un ou l’autre des deux exploits réussit, est le téléchargement d’un cheval de Troie qui vérifie si certains processus fonctionnent, à savoir :
- filemon.exe
- netmon.exe
- procmon.exe
- regmon.exe
- sandboxiedcomlaunch.exe
- vboxservice.exe
- vboxtray.exe
- vmtoolsd.exe
- vmwareservice.exe
- vmwareuser.exe
- wireshark.exe.
Si l’un de ces processus est en cours d’exécution, aucune autre mesure ne sera prise.
Si ces processus ne s’exécutent pas, une DLL sera téléchargée qui installera le ransomware GandCrab. Une fois les fichiers chiffrés, une note de rançon est déposée sur le bureau. Un paiement de 499$ par appareil est exigé pour déverrouiller les fichiers chiffrés.
Les kits d’exploitation ne fonctionneront que si le logiciel n’est pas à jour. Les pratiques de patch ont tendance à être meilleures aux États-Unis et en Europe, de sorte que les attaquants ont tendance à utiliser d’autres méthodes pour installer leurs logiciels malveillants dans ces régions. L’activité des kits d’exploitation est principalement concentrée dans la région Asie-Pacifique où les logiciels sont plus susceptibles d’être obsolètes.
La meilleure protection contre le Fallout Exploit kit est de s’assurer que les systèmes d’exploitation, les navigateurs, les extensions de navigateur et les plug-ins sont entièrement patchés et que tous les ordinateurs utilisent les dernières versions des logiciels.
Les entreprises qui utilisent des filtres web, comme WebTitan, seront mieux protégées car les utilisateurs finaux ne pourront pas visiter ou être redirigés vers des pages web connues pour héberger des kits d’exploitation.
Pour s’assurer que les fichiers peuvent être récupérés sans payer de rançon, il est essentiel que des sauvegardes régulières soient effectuées. Une bonne stratégie consiste à créer au moins trois copies de sauvegarde, stockées sur deux supports différents, dont une stockée en toute sécurité hors site sur un appareil qui n’est pas connecté au réseau ou accessible sur Internet.