Si les ransomwares sont les logiciels malveillants les plus « tendances » chez les cyberescrocs comme s’accordent à montrer plusieurs analyses, les développeurs de ces solutions ne dorment pas sur leurs lauriers et veulent encore plus perfectionner leurs outils.Cerber par exemple dispose d’une fonctionnalité appelée « malware factory » (fabrique de malwares) qui permet de créer une version différente du logiciel toutes les 15 secondes pour lui permettre de contourner la sécurité de la machine de la victime.
Pour rappel, le ransomware Cerber a été découvert début mars. Il infiltre le système et chiffre divers fichiers (.jpg, .doc, .raw, .avi, etc.). Après un chiffrement réussi, le ransomware se sert d’une voix synthétique pour prévenir l’utilisateur : « Attention ! Attention ! Vos documents, photos, bases de données, et ’autres fichiers importants ont été chiffrés ». Cerber va alors demander aux utilisateurs de payer une rançon afin de déchiffrer ces fichiers. Il est donné aux utilisateurs en général un délai de sept jours, autrement le montant de la rançon doublera.
C’est l’entreprise en sécurité Invincea qui a découvert ce changement récent dans le mode opératoire de Cerber. Une de ses équipes de chercheurs en sécurité a affirmé que pendant qu'elle analysait un fichier journal des dernières techniques d'infection de Cerber afin de pouvoir essayer de reproduire la chaîne d'infection, ils sont tombés sur une charge utile différente de Cerber avec un hachage de fichier qui avait lui aussi été modifié.
Après quelques instants ils ont observé un troisième hachage, puis un quatrième hachage, et ainsi de suite. Il ne leur a pas fallu longtemps pour comprendre que les serveurs C&C de Cerber envoyaient des fichiers binaires de Cerber avec différents hachages toutes les 15 secondes.
Ce qui leur a permis de découvrir la présence de « malware factory », une ligne d’assemblage automatisée qui fait de petites modifications de la structure interne de Cerber afin de générer des fichiers avec des hashs uniques. Ce dernier point permet à Cerber de passer outre la sécurité et d’infecter les machines, même si l’antivirus avait détecté sa présence avant. Les antivirus détectent la menace en se basant sur une liste de hash dans la signature interne de la base de données du virus. Parce que Cerber en obtient un nouveau et unique toutes les 15 secondes, cela lui permet de contourner les techniques basiques d’analyse d’antivirus. Il faut préciser que le « malware factory » en lui-même n’est pas nouveau. En mars 2014, la RSA avait publié un billet de blog donnant plus de détails sur cette fonctionnalité.
Les chercheurs d’Invincea ont également indiqué avoir mis la main sur un échantillon de Cerber qui est capable de lancer des attaques DDoS.
Le ransomware CryptXXX pour sa part apporte de nombreux changements en termes de fonctionnalités dans sa nouvelle version. L’une des fonctionnalités les plus dangereuses se trouve au niveau de son module Stiller X. Ce dernier fonctionne exactement comme le ferait un dumper de mots de passe classique. Ce type de logiciels est spécifiquement conçu pour attaquer les bases de données internes de plusieurs progiciels, extraire les mots de passe chiffrés ou en clair, puis de les envoyer à un serveur en ligne.
Le module StillerX de CryptXXX est capable de cibler de nombreuses sortes de logiciels parmi lesquels les navigateurs internet, les gestionnaires de téléchargement, les clients de messagerie, les logiciels FTP, les applications de messagerie instantanée, les clients proxy, les VPN, les informations d'identification de numérotation, et les mots de passe stockés dans le cache de WNetEnum et Credential Manager de Microsoft.
Pour détecter une infection au ransomware CryptXXX, les utilisateurs peuvent rechercher des traces du module StillerX sur leur système avec la présence des fichiers « stiller.dll », « stillerx.dll » et « stillerzzz.dll ». Les chercheurs de Proofpoint, qui sont à l’origine de la dernière analyse de ce ransomware, ont indiqué qu’il y a des indices dans le code de Stiller X qui laissent penser que le module pourrait même être utilisé de façon autonome sans le ransomware CryptXXX.
En plus d’être capable de voler des mots de passe, la version 3.100 de CryptXXX est capable de chercher des dispositifs connectés à la machine infectée et de s’attaquer également aux fichiers qui sont présents.
Source : fonctionnement du « malware factory »(blog RSA), blog Invincea, blog Proofpoint
Voir aussi :
Microsoft lance l'alerte sur une nouvelle variante de ransomware baptisée Zcryptor dotée d'une capacité d'autopropagation Des pirates se servent d'attaques par injection de SQL pour attaquer des sites conçus avec le CMS Drupal et y installer de faux ransomwares « Nous sommes désolés ! », les opérateurs derrière le ransomware TeslaCrypt mettent un terme à son activité et donnent une clé universelle le forum Sécurité 
