Les utilisateurs ont été avertis de ne pas télécharger une fausse mise à jour de Windows 10 qui contient en réalité des logiciels malveillants.
Les chercheurs en sécurité de SpiderLabs de Trustwave ont découvert une nouvelle campagne malveillante qui parraine une mise à jour urgente de courrier électronique de Microsoft pour infecter les systèmes des utilisateurs avec le ransomware Cyborg.
Les utilisateurs ciblés reçoivent d’abord un courrier électronique avec l’objet «Installer la dernière mise à jour de Microsoft Windows maintenant!». ou 'Critical Microsoft Windows Update!' ce qui est déjà suspect car Microsoft pousse les mises à jour Windows via son système d'exploitation et jamais par courrier électronique.
Le courrier électronique lui-même contient une seule ligne de texte qui se lit comme suit: «Installez la dernière mise à jour critique de Microsoft jointe à ce courrier électronique». Bien que la pièce jointe fictive de la mise à jour ait une extension de fichier «.jpg», il ne s’agit pas d’une image, mais d’un fichier exécutable.
Ce fichier exécutable est un téléchargement .NET malveillant que les attaquants ont conçu pour fournir des logiciels malveillants au système infecté.
Sommaire
Cyborg ransomware
En cliquant sur la pièce jointe de l'e-mail, l'exécutable caché dans celui-ci télécharge un fichier appelé 'bitcoingenerator.exe' à partir d'un fichier. Compte GitHub avec le nom misterbtc2020. Tout comme pour la pièce jointe elle-même, ce fichier est un programme malveillant compilé par .NET, appelé le ransomware Cyborg.
Une fois activé, le ransomware crypte tous les fichiers du système de l'utilisateur infecté et ajoute à ses noms de fichier sa propre extension, 777. Une note de rançon portant le nom de fichier 'Cyborg_DECRYPT.txt' est ensuite laissée sur le bureau de la machine compromise. Enfin, le ransomware laisse une copie de lui-même appelée "bot.exe" masquée à la racine du lecteur infecté.
Afin de mieux comprendre les variantes du ransomware Cyborg, les chercheurs de Trustwave ont recherché le nom de fichier d'origine du ransomware qu'ils avaient obtenu et l'ont recherché dans VirusTotal. Là, ils ont trouvé trois autres exemples de ce logiciel de rançon et ont découvert qu’un constructeur existait en ligne.
Les chercheurs ont également trouvé un compte GitHub, nommé Cyborg-Ransomware, qui contenait un référentiel contenant les fichiers binaires du générateur de ransomware, ainsi qu'un second référentiel contenant un lien vers la version russe du même générateur hébergé sur un autre site.
Diana Lopera, de Trustwave, a expliqué dans un article de blog pourquoi le ransomware Cyborg constituait une menace sérieuse pour les particuliers et les entreprises:
«Cyborg Ransomware peut être créé et diffusé par quiconque s’empare du constructeur. Il peut être spammé en utilisant d'autres thèmes et être attaché sous différentes formes pour échapper aux passerelles de messagerie. Les attaquants peuvent créer ce ransomware pour qu’il utilise une extension de fichier connue afin d’induire en erreur l’utilisateur infecté de l’identité de ce ransomware. ”
- Protégez vos appareils des dernières cyber-menaces avec le meilleur logiciel antivirus