Comment le ransomware Spora dupe votre antivirus

Ransomwares

Le ransomware Spora, découvert pour la première fois en janvier, est de retour avec une nouvelle technique qui tente de duper et de contourner les produits antivirus et les filtres de messagerie.

ransomware spora

Selon les experts des SophosLabs, le ransomware Spora, découvert pour la première fois en janvier, est de retour avec une nouvelle technique qui tente de duper et de contourner les produits antivirus et les filtres de messagerie.

Comme les campagnes précédentes, l’infection est diffusée via un email contenant un fichier HTA (application HTML) contaminé. Mais, bien que le fichier possède effectivement une extension de fichier HTA, le fichier lui-même est conçu pour duper les scanners qui devraient normalement empêcher le fichier HTA de passer pour un PDF inoffensif, en laissant ainsi le ransomware continuer son chemin. Cette technique n’a été observée que lors d’attaques qui visaient une population de langue russe, mais si cette dernière fonctionne bien, il y a de réelles chances de voir cette astuce utilisée pour cibler des utilisateurs dans d’autres pays.

Le procédé d’infection

Le ransomware Spora a précédemment été diffusé via des attaques à plusieurs étapes qui se déroulaient en général comme ceci :

  • Vous recevez un fichier ZIP et êtes invités à l’ouvrir : l’ouverture de fichiers ZIP, même s’ils vous parviennent par courrier électronique, est généralement considérée comme un exercice à faible risque, de la même façon que la consultation d’une liste de fichiers dans un dossier est beaucoup moins dangereuse que l’ouverture des fichiers individuels présents dans le dossier en question.
  • Le fichier ZIP contient un fichier HTA avec un nom très séduisant. HTA est une abréviation de HTML Application, ce qui signifie que Windows traite un fichier HTA comme une page Web qui n’est pas soumise au sandboxing et à autres contrôles de sécurité obligatoires, lorsque vous naviguez sur le net. Si un HTA contient un script intégré, ce script a le même environnement d’exécution qu’un programme téléchargé (fichier .EXE).
  • Le fichier HTA contient un programme VBScript qui crée et lance un fichier JavaScript intégré.

Quelle est donc la nouveauté ?

Windows traite les fichiers comme un HTA car il reconnaît l’extension du fichier et ignore les premiers octets qui identifient le fichier comme étant différent de ce qu’il prétend être.

Les produits de filtrage font généralement le contraire : à savoir, ils font davantage confiance au contenu des octets du fichier qu’à son extension. Les scanners et les filtres voient la pièce jointe en tant que PDF et tente de la traiter en conséquence.

Étant donné que le script HTA est rajouté à la fin d’un fichier créé par ailleurs pour ressembler à un PDF, les chances pour le ransomware de passer au travers sont beaucoup plus grandes.

Le processus étape par étape

Ce qui suit est le processus étape par étape par lequel le ransomware Spora se propage parmi ses victimes, selon l’analyse des SophosLabs :

Tout d’abord, nous voyons un nom de fichier et une icône pour l’un des échantillons. Les noms de fichiers vus jusqu’ici sont tous en russe mais semblent se concentrer sur un paiement ou une facture. Ils sont, comme vous l’imaginez, conçus pour inciter les destinataires à cliquer dessus.

ransomware spora

Windows ne montre pas les extensions de fichier par défaut, donc si vous décompressez le fichier, vous verrez un nom de fichier se terminer par _pdf, ce qui pourrait suffire à vous persuader que vous avez affaire à un fichier PDF.

C’est pourquoi nous vous recommandons de configurer Windows pour afficher les extensions de fichier. Si votre machine est configurée pour afficher les extensions de fichier, vous verrez alors apparaitre un nom de fichier se terminant par .hta qui peut vous intriquer beaucoup plus !

Voici à quoi ressemble le fichier intégré, lorsque affiché dans un éditeur hexadécimal :

ransomware spora

Le marqueur de fin du fichier PDF est suivi du code HTA :

ransomware spora

Une fois nettoyé avec la syntaxe en surbrillance, le code HTA ressemble à ceci :

ransomware spora

Si vous double-cliquez sur le fichier, le code malveillant est lancé et exécuté :

ransomware spora

Voici à quoi ressemblent les images chiffrées sur l’ordinateur, après que la victime ait ouvert le fichier HTA :

ransomware spora

Une fois infecté, la victime reçoit la page HTML de demande de rançon suivante :

ransomware spora

Pour atteindre la page de paiement, la victime doit télécharger un fichier que le ransomware Spora a chiffré. Cela semble être le mécanisme pour créer des « comptes » uniques. Voici la page de paiement :

ransomware spora

Ensuite, nous voyons le fil public entre les victimes et les cybercriminels. Cette capture d’écran explique le principe d’ »immunité » par le paiement, un service qui empêche l’utilisateur d’être touché de nouveau par le ransomware Spora. Le coût a diminué, mais toutes les autres options ont, quant à elles, augmenté :

ransomware spora

Une fois le ransomware exécuté, le répertoire Program Files est caché et remplacé par un raccourci Windows :

ransomware spora

Cela semble être une méthode pour diffuser le ransomware Spora au sein d’autres ordinateurs avec accès aux mêmes partages. En cliquant sur le faux répertoire Program Files, vous ouvrez le répertoire caché dans Explorer et faites en sorte que le malware se copie dans le répertoire temporaire de l’utilisateur et s’exécute ensuite à partir de là.

De cette façon, toute personne qui parcourt un partage au niveau d’un réseau infecté aura également ses fichiers chiffrés.

La détection par Sophos

Les clients de Sophos sont protégés, les produits Sophos détectent les fichiers ZIP contenant l’HTA en tant que CXmail/JSDl-O. Ils détectent le PDF-HTA seul sous le nom Troj/HTADrp-AD, et l’EXE correspondant sous le nom Mal/EncPk-ACO. Les fichiers LNK associés sont détectés sous l’appellation Mal/RansomLnk-A.

Les mesures défensives concernant les pièces jointes malveillantes

  • Si vous recevez une pièce jointe par email, quelle qu’elle soit, et que vous ne connaissez pas la personne qui vous l’a envoyée, NE L’OUVREZ PAS !
  • Configurez Windows pour qu’il affiche les extensions des fichiers. Cela vous permettra de repérer les fichiers trompeurs.
  • Utilisez un antivirus avec un scanner on-access (également connu sous le nom de protection en temps réel). Cela peut vous aider à bloquer les malwares de ce type grâce à une défense multi-couches, par exemple en arrêtant en amont un fichier PDF ou HTA piégé.
  • Pensez à paramétrer de manière stricte la passerelle de messagerie. Certains employés sont plus exposés que d’autres, vis-à-vis de l’envoie de malwares (comme le département de traitement des commandes), et doivent donc bénéficier d’une protection renforcée, afin d’éviter tout incident.

Les mesures défensives concernant les ransomwares

La meilleure défense contre les ransomwares est tout simplement d’éviter l’infection en amont ! Ainsi, nous avons publié un guide intitulé : Ransomware, comment s’en protéger, qui vous sera sans aucun doute d’une grande utilité :

ransomware spora

Vous pouvez également écouter notre podcast Techknow Dealing with Ransomware :


Billet inspiré de How Spora ransomware tries to fool antivirus, sur Sophos nakedsecurity.

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s