La société Trustwave, spécialisée dans la cybersécurité, a récemment identifié un nouveau programme malveillant, diffusé via un e-mail semblant provenir de Microsoft. Une fois la pièce jointe ouverte, celui-ci rend vos données inaccessibles et vous somme de payer une rançon pour les récupérer.
« Veuillez installer la dernière mise à jour critique de Microsoft jointe à ce courriel »
Dans un premier temps, les utilisateurs ciblés par cette campagne de ransomware reçoivent un e-mail intitulé « Installez la dernière mise à jour de Microsoft Windows maintenant » ou « Mise à jour critique de Microsoft Windows ». Ce qui s’avère déjà suspect, étant donné que Microsoft ne propose de nouvelles mises à jour pour son système d’exploitation que via son utilitaire intégré Windows Update, jamais par courriel. L’e-mail en question ne contient qu’une seule ligne de texte : « Veuillez installer la dernière mise à jour critique de Microsoft jointe à ce courriel ».
Bien que la pièce jointe en question comporte l’extension de fichier « .jpg », il s’agit en réalité d’un fichier exécutable, conçu pour installer des logiciels malveillants sur le système sur lequel il est lancé. Lorsque l’utilisateur clique sur la pièce jointe, le fichier exécutable télécharge depuis le compte GitHub de l’utilisateur « misterbtc202020 » un fichier appelé « bitcoingenerator.exe ». Ce dernier se trouve être un ransomware, ou logiciel d’extorsion, qui va chiffrer les données de l’utilisateur et le forcer à payer une certaine somme pour obtenir la clef permettant de les décrypter.
Une menace très sérieuse
Une fois activé, le ransomware crypte l’ensemble des fichiers du système de l’utilisateur infecté, qui comportent alors l’extension « .777 ». Prenant la forme d’un fichier texte, une demande de rançon intitulée « Cyborg_DECRYPT.txt » est laissée sur le bureau de la machine infectée. Dans le même temps, le ransomware laisse une copie de lui-même, appelée « bot.exe », à la racine du disque infecté. Après investigations, les équipes de Trustwave ont découvert que trois versions différentes du ransomware étaient actuellement utilisées pour extorquer les utilisateurs.
Les experts en sécurité ont également identifié un compte GitHub depuis lequel il était possible de télécharger le « build », ou générateur, du programme malveillant. Comme l’a expliqué Diana Lopera de Trustwave : « Le fichier contenant le ransomware peut être créé et diffusé par quiconque s’empare du build. Il peut être spammé en utilisant d’autres thèmes et être attaché sous différentes formes pour échapper aux passerelles de messagerie. Les attaquants peuvent créer ce ransomware pour qu’il utilise une extension de fichier connue afin d’induire en erreur l’utilisateur. »
Toujours selon Lopera, ce programme malveillant constitue une menace très sérieuse, que ce soit pour les entreprises ou les particuliers.
Faut être. Une buse pour installer une mise a jour reçu par email. ????