Une nouvelle menace de malware, appelée Viro botnet, a été détectée. Le malware combine les fonctions de chiffrement de fichiers de ransomware à un enregistreur de frappe pour obtenir des mots de passe et à un botnet capable d’envoyer des spams à partir de dispositifs infectés.
Le malware Viro botnet fait partie d’une nouvelle génération de variantes de malwares très flexibles et qui disposent d’un large éventail de fonctionnalités leur permettant de maximiser les bénéfices d’une infection réussie. Plusieurs variantes de malwares ont été découvertes récemment, combinant les propriétés de chiffrement de fichiers des ransomwares avec le code d’exploitation minière de cryptomonnaies.
La dernière menace a été identifiée par des chercheurs en sécurité de Trend Micro. Ils ont souligné que cette nouvelle menace est encore en cours de développement et semble avoir été créée de toutes pièces. Le code est différent de ceux des autres variantes de ransomwares connues.
Certaines variantes de ransomwares sont capables de s’autopropager d’un appareil infecté à d’autres appareils sur un même réseau. Viro botnet y parvient en détournant les comptes de messagerie Outlook. Il utilise ensuite ces comptes pour envoyer des spams – contenant soit une copie d’eux-mêmes en pièce jointe, soit un téléchargeur — à toutes les personnes de la liste de contacts de l’utilisateur.
Viro botnet a été utilisé dans des attaques ciblées aux États-Unis via des campagnes de spams, bien que bizarrement, la note de rançon déposée sur les ordinateurs des victimes était écrite en français. Ce n’est pas la seule nouvelle menace de ransomware à inclure une demande de rançon en français. C’est aussi le cas de PyLocky, une nouvelle menace de ransomware récemment détectée et qui se fait passer pour Locky. Cela semble être une coïncidence, car rien n’indique que ces deux types de ransomwares sont liés ou distribués par un même groupe de menaces.
Avec Viro botnet, l’infection commence par un spam contenant une pièce jointe malveillante. Si celle-ci est ouverte et que le contenu est autorisé à s’exécuter, la charge utile malveillante sera téléchargée. Viro botnet malware vérifiera d’abord les clés de registre et les clés de produit pour déterminer si sa routine de cryptage doit s’exécuter. Si ces contrôles sont réussis, une paire de clés de chiffrement/déchiffrement sera générée via un générateur cryptographique de nombres aléatoires qui seront ensuite renvoyés au serveur C2 de l’attaquant. Les fichiers sont ensuite chiffrés par le biais d’un chiffrement RSA et une note de rançon est déposée sur le bureau de l’ordinateur infecté.
Le malware Viro botnet contient un keylogger de base capable d’enregistrer toutes les frappes sur une machine infectée et de renvoyer les données au serveur C2 de l’attaquant, puis de télécharger d’autres fichiers malveillants à partir de ce même serveur.
Alors que le serveur C2 de l’attaquant était initialement actif, il est actuellement désactivé, de sorte que les données des autres périphériques infectés ne puissent plus être chiffrées. En effet, la connexion à ce serveur est nécessaire pour que la routine de chiffrement puisse démarrer. La menace a été neutralisée, mais il ne devrait s’agir que d’une brève interruption. On pourrait s’attendre à ce que le C2 soit réactivé et que d’autres campagnes de distribution plus vastes se produisent.
La protection contre les menaces par courrier électronique comme le malware Viro botnet nécessite une solution avancée de filtrage des spams comme SpamTitan pour empêcher la transmission de messages malveillants aux utilisateurs finaux. Un logiciel antimalware avancé devrait être installé pour détecter les fichiers malveillants au cas où ils seraient téléchargés.
Les utilisateurs finaux devraient également recevoir une formation de sensibilisation à la sécurité pour les aider à identifier les menaces de sécurité et à réagir de manière appropriée.
Enfin, des sauvegardes multiples doivent être créées, dont une copie sera stockée en toute sécurité hors site, et ce, afin de garantir que les fichiers puissent être récupérés en cas de chiffrement des fichiers.