Publié par UnderNews Actu - Télécharger l'application Android

CryptXXX est rapidement devenu l’une des principales variantes de rançongiciels en circulation, avec une distribution massive via des kits d’exploitation tels que Neutrino et Angler. Pour la première fois, les chercheurs de Proofpoint ont observé que CryptXXX est diffusé via des documents infectés joints à des e-mails.

Tribune Proofpoint par Charles Rami –  En raison de la chute du trafic de ces kits (il a connu un recul de 96 % entre avril et juin), en particulier suite à la disparition d’Angler Exploit Kit, les pirates informatiques qui ont normalement recours aux kits diversifient leurs méthodes et cherchent d’autres vecteurs, tels que les e-mails. Pour la première fois, les chercheurs de Proofpoint ont observé que CryptXXX est diffusé via des documents infectés joints à des e-mails.

Le 14 juillet, les chercheurs de Proofpoint ont détecté une campagne d’e-mails dont les pièces jointes contenaient des macros infectées. Lorsqu’on les ouvre, ces pièces jointes téléchargent et installent CryptXXX. Les messages de cette campagne avaient pour objet « Security Breach – Security Report #123456789 », et contenaient des pièces jointes nommées « info12.doc » ou « i_nf012.doc ». Les chiffres et numéros de rapport dans les noms de fichiers avaient été choisis au hasard. Cette campagne avait une portée assez limitée, avec seulement quelques milliers d’e-mails détectés, ce qui laisse supposer qu’elle a d’abord servi à tester ce nouveau mécanisme de diffusion.

mail-infection
ExpressVPN

E-mail contenant les documents qui téléchargent le rançongiciel CryptXXX. Bien que l’adresse IP soit masquée dans notre exemple, il est important de noter que les deuxième et troisième octets de nos échantillons étaient supérieurs à 255. Ces adresses seraient évidemment fausses pour un administrateur réseaux, mais sembleraient crédibles aux yeux de nombreux utilisateurs moyens, qui se presseraient d’ouvrir les pièces jointes.

La version de CryptXXX utilisée pour cette campagne a pour code affilié : U000022. Nous pensons que CryptXXX est en phase de développement et qu’il est peut-être divisé en deux variantes distinctes. La variante initiale en est à la version 5.001 (fin mai, nous avons publié un article sur la mise à jour vers la version 3.100), alors que la nouvelle variante utilise un format différent pour effectuer la mise à niveau et devra être analysée en profondeur.

cryptxxx-ransom

Pièce jointe qui télécharge le rançongiciel CryptXXX.

Conclusion

Le rançongiciel CryptXXX s’est rapidement propagé depuis son apparition au début de l’année. Au départ, il était lié à des groupes associés à Angler et sa distribution était assurée presque exclusivement via ce kit. Étant donné que l’activité d’Angler a ralenti au cours des trois derniers mois, de nombreux pirates se sont tournés vers le kit d’exploitation Neutrino pour diffuser CryptXXX. Sans surprise, après le bouleversement du marché des kits d’exploitation, les pirates de CryptXXX ont désormais aussi recours aux e-mails. Nous continuerons de suivre l’évolution de cette tendance pour vérifier si la distribution de CryptXXX via des documents infectés augmente au cours des prochains mois.

Vous avez aimé cet article ? Alors partagez-le en cliquant sur les boutons ci-dessous :

Twitter Facebook Google Plus Linkedin Pinterest email
1 étoile2 étoiles3 étoiles4 étoiles5 étoiles (1 votes, note : 4,00 sur 5)
Loading...

Mots clés : , , , , ,


Vos réactions

Ils parlent du sujet :

  1. Le ransomware CryptXXX passe à l’e...

    […] CryptXXX est rapidement devenu l’une des principales variantes de rançongiciels en circulation, avec une distribution massive via des kits d’exploitation tels que Neutrino et Angler. Pour la première fois, les chercheurs de Proofpoint ont observé que CryptXXX est diffusé via des documents infectés joints à des e-mails.  […]