Betabot : le logiciel malveillant qui subtilise vos mots de passe puis lance l'installation d'un ransomware
Marque une première chez les Trojan

Le , par Stéphane le calme, Chroniqueur Actualités
Betabot était un cheval de Troie « classique » destiné à subtiliser les informations des victimes jusqu’à ce que les développeurs derrière le logiciel malveillant ne décident de lui ajouter une fonctionnalité supplémentaire : la capacité d’infecter les ordinateurs compromis du ransomware Cerber.

Avant d’en arriver là, le logiciel malveillant, qui est présent depuis 2013 dans le cyberespace, infectait ses victimes en se servant du kit d’exploit Neutrino. Vers la fin du mois de juillet, l’équipe derrière le logiciel malveillant a changé sa méthodologie d’attaque et s’est orientée vers des campagnes de spam avec des pièces jointes qui contenaient un document Word modifié pour contenir des scripts macro de Betabot. Si l’utilisateur activait le support des macros dans Microsoft Office, les scripts allaient alors lancer le téléchargement et l’installation de Betabot.

C’est ce qu’expliquent les chercheurs d’Invincea qui ont assuré que Betabot se sert de pièces jointes comme vecteur d’attaque d’une campagne malveillante dont les victimes se comptent par milliers. « Les documents armés sont reçus dans la messagerie de la victime comme étant des CV, demandant aux victimes d’activer des macros. Une fois que les macros sont activées, le logiciel malveillant va s’assurer qu’il ne se trouve pas dans une machine virtuelle ou dans un bac à sable et va par la suite subtiliser tous les mots de passe sauvegardés en local sur tous les navigateurs. Une fois que les mots de passe sont volés, le périphérique n’est plus d’aucune utilité pour le Betabot. Aussi, dans une tentative de produire plus de cash que les 185 dollars sont susceptibles de lui rapporter, il télécharge et exécute le ransomware Cerber ».

Les chercheurs avancent que « c’est la première fois qu’un logiciel malveillant de vol de données, transmis via des documents, fait appel à un ransomware dans une attaque secondaire. Cela représente une évolution dans la maximisation des profits d’un dispositif infecté, qui s’avère bien plus effectif que le fait de se servir de plusieurs techniques d’attaques ».

Les personnes infectées par le ransomware Cerber sont en général invitées à payer un bitcoin pour obtenir la clé de déchiffrement qui va leur permettre de récupérer leurs fichiers. La vente de mots de passe dans le dark web pouvait rapporter 185 dollars aux pirates. Mais en associant Cerber à Betabot, ils veulent s’assurer de se faire une marge de profits plus importante (un bitcoin est équivalent à 574 dollars à l’instant de l’écriture de ces lignes, l’opération avec Cerber s’avère donc être trois fois plus lucrative que la vente des données volées).

Source : Invincea


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de TiranusKBX TiranusKBX - Expert confirmé https://www.developpez.com
le 03/09/2016 à 9:41
Ils passent de voleurs discrets à voleurs en fanfare, certes leur profit est plus important et rapide mais c'est le meilleur moyen pour braquer les projecteurs sur eux, dès le moment ou ils voudrons convertir leur Bitcoin en monnaie "classique" il seront grillés
Avatar de Aiigl59 Aiigl59 - Membre du Club https://www.developpez.com
le 08/09/2016 à 20:36
Pas de MS orifice, ni de mikrosoft chez moi, juste linux et libre office => pas de base pour pièges à gogo, what else ?
Avatar de Jimmy_ Jimmy_ - Membre éprouvé https://www.developpez.com
le 09/09/2016 à 13:25
Un truc qui me chiffonne ...
Comment faire payer 1 bitcoin à des gens , alors qu'on viens de massacrer leur disque dur ?

J'ai du mal à saisir la démarche en fait.
Offres d'emploi IT
Développeur .Net
SATELLIT - Belgique - Bruxelles
Développeur Angular JS
EKXEL IT Services & Financial Engineering - Belgique - Bruxelles
Administrateur système & réseau / Maintenance interne
Intrasense - Languedoc Roussillon - Montpellier (34000)

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil