Locky : une nouvelle vague d’e-mails malveillants détectée

Sécurité : Plusieurs sociétés de cybersécurité ont détecté une nouvelle vague de spam diffusant le ransomware Locky. Celui-ci était pourtant en perte de vitesse, éclipsé par la popularité de Cerber, mais cette nouvelle salve montre que Locky n’a pas dit son dernier mot.

Locky était la star sur le marché des ransomware en 2016. Mais vers la fin de l’année, sa popularité s’est lentement érodée au profit d’une nouvelle variante de rançongiciel baptisée Cerber. Comme le rapportait la société Malwarebytes, cette évolution était notamment due à la décision des opérateurs du botnet Necurs de prendre leurs distances avec la diffusion de ransomware afin de basculer vers le spam.

Mais plusieurs sociétés de cybersécurité ont tiré la sonnette d’alarme en début de semaine après avoir constaté une nouvelle vague de diffusion du ransomware. Comme le rapporte Talos, cette nouvelle vague d’email a été détectée dans la journée d’hier et semble provenir du botnet Necurs. Il semblerait donc que les opérateurs de ce botnet aient finalement décidé de renouer avec leurs anciennes amours et de rouvrir la diffusion de ransomware au travers de leurs infrastructures.

 

Le nouveau vecteur d’infection utilisé par cette campagne a recours à aux macros d’un document word lié au sein d’un pdf, à la manière du malware bancaire Dridex. 

Les cibles touchent principalement des entreprises, dans différents pays, dont la France. La société Vade Secure, spécialisée dans la protection des boîtes mails, rapportent ainsi avoir bloqué « 369 000 exemplaires de cet email reçu par ses « seuls » clients, dont une majorité en France. » Les mails envoyés sont sommaires : ils contiennent un objet, ainsi qu’un document pdf. Si le document pdf est ouvert, une pop-up intervient afin d’inciter l’utilisateur à ouvrir le document via Word.

Une fois le document ouvert dans Word, l’image affichée invite à activer les macros, ce qui permettra au malware de finalement télécharger la charge utile qui chiffrera les fichiers de la cible. Laborieux ? Comme l’expliquent les chercheurs de Talos, la branche cybersécurité de Cisco, ces étapes supplémentaires permettent de contourner les protections de type sandbox qui limitent les capacités des malwares. Une technique déjà mise en œuvre par le malware bancaire Dridex, et que les cybercriminels à l’origine de cette nouvelle campagne de diffusion de Locky ont donc reprise à leur compte.

 

Une fois l’infection achevée, les fichiers de la cible sont chiffrés et portent l’extension de fichier .osiris. Les cybercriminels exigent ensuite une rançon de 0,5 bitcoins (soit environ 583 euros), en promettant de déchiffrer les fichiers contre le paiement. Locky est donc en perte de vitesse, mais est loin d’avoir rendu les armes et le retour du botnet Necurs à la diffusion de ransomware pourrait bien laisser présager de nouvelles vagues de mails piégés dans le courant de l’année.

Locky : une nouvelle vague d’e-mails malveillants détectée

Source : L’article << Locky : une nouvelle vague d’e-mails malveillants détectée >> est extrait de ZDNet

Du contenu qui pourrait bien vous intéresser !

1 Etoile2 Etoiles3 Etoiles4 Etoiles5 Etoiles 1 avis, 5,00/5
Loading...
2017-09-18T18:29:36+00:00

Laisser un commentaire

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.