Le ransomware Cerber se dote d'une fonctionnalité lui permettant de voler des portefeuilles Bitcoin
et les mots de passe associés
Depuis sa découverte en mars de l’année dernière, le ransomware Cerber n’a eu de cesse d’évoluer. Pour rappel, il infiltre le système et chiffre divers fichiers (.jpg, .doc, .raw, .avi, etc.). Après un chiffrement réussi, le ransomware se sert d’une voix synthétique pour prévenir l’utilisateur : « Attention ! Attention ! Vos documents, photos, bases de données, et ’autres fichiers importants ont été chiffrés ». Cerber va alors demander aux utilisateurs de payer une rançon afin de déchiffrer ces fichiers. Il est donné aux utilisateurs en général un délai de sept jours, autrement le montant de la rançon doublera.
Quelque temps après sa découverte, l’entreprise en sécurité Invincea a observé un changement dans son mode opératoire. Une de ses équipes de chercheurs en sécurité a affirmé que pendant qu'elle analysait un fichier journal des dernières techniques d'infection de Cerber afin de pouvoir essayer de reproduire la chaîne d'infection, ils sont tombés sur une charge utile différente de Cerber avec un hachage de fichier qui avait lui aussi été modifié.
Après quelques instants ils ont observé un troisième hachage, puis un quatrième hachage, et ainsi de suite. Il ne leur a pas fallu longtemps pour comprendre que les serveurs C&C de Cerber envoyaient des fichiers binaires de Cerber avec différents hachages toutes les 15 secondes.
Ce qui leur a permis de découvrir la présence de « malware factory », une ligne d’assemblage automatisée qui fait de petites modifications de la structure interne de Cerber afin de générer des fichiers avec des hashs uniques. Ce dernier point permet à Cerber de passer outre la sécurité et d’infecter les machines, même si l’antivirus avait détecté sa présence avant. Les antivirus détectent la menace en se basant sur une liste de hashs dans la signature interne de la base de données du virus. Parce que Cerber en obtient un nouveau et unique toutes les 15 secondes, cela lui permet de contourner les techniques basiques d’analyse d’antivirus.
Cette fois-ci, les auteurs de Cerber ont ajouté une nouvelle fonctionnalité : le logiciel malveillant est capable de subtiliser des informations concernant des portefeuilles Bitcoin. Deux chercheurs de Trend Micro, Gilbert Sison et Janus Agcaoili, ont découvert que le ransomware parcourt les PC infectés à la recherche de l’une des trois applications Bitcoin suivantes : Bitcoin Core, Multibit et Electrum. Son objectif ? Trouver et voler les fichiers : wallet.dat (utilisés par Bitcoin Core), .wallet (Multibit) et electrum.dat (Electrum). Ces fichiers contiennent des informations sur le portefeuille de Bitcoin de l’utilisateur.
Un mot de passe est nécessaire pour accéder au contenu du portefeuille, mais Cerber a également couvert ce sujet : il essaie également de voler des mots de passe enregistrés sur Internet Explorer, Google Chrome et Mozilla Firefox.
« Notez que ce vol d'information a lieu avant qu'un chiffrement ne soit effectué. Les mots de passe enregistrés et les informations sur le portefeuille de Bitcoin trouvées sont envoyés aux attaquants via les serveurs de commande et de contrôle. Il supprime également les fichiers portefeuilles une fois qu'ils ont été envoyés aux serveurs », expliquent les chercheurs.
Et de continuer en disant que « Cette nouvelle fonctionnalité montre que les attaquants expérimentent de nouvelles façons de monétiser le ransomware. Le vol des bitcoins des utilisateurs ciblés représenterait une source précieuse de revenus potentiels. »
Cerber n'est pas la première famille de ransomware à voler les données des victimes : nous pouvons par exemple citer le ransomware RAA, qui infecte les victimes du Trojan Pony qui subtilise les données et le ransomware Merry Christmas, qui est associé au logiciel malveillant Diamond Fox (ce dernier est responsable du vol de données). Toutefois, il apparaît alarmant de voir l’un des ransomwares les plus populaires se doter d’une telle technique.
Sa méthode d’infection pour sa part est restée sensiblement la même : une attaque par phishing via des courriers électroniques. Aussi, Trend Micro insiste sur le fait qu’il est important pour les utilisateurs de faire attention lorsqu’ils reçoivent des pièces jointes ou alors des courriels de sources non vérifiées. Une prudence qui demeure la meilleure façon d’éviter ces attaques.
Source : blog Trend Micro
Et vous ?
Qu'en pensez-vous ?
Voir aussi :
Les serveurs Windows seraient la cible du ransomware Cerber installé grâce à une faille sur Apache Strusts 2, selon le SANS Internet Storm Center
Partager