Les chercheurs en cybersécurité de Cybereason ont découvert que l'une des dernières variantes du célèbre ransomware DJVU, doublé Xaro, utilise un logiciel piraté comme vecteur de distribution. Il convient de noter que ce n'est pas le premier cas de DJVU également connu sous le nom de ARRÊTEZ Ransomware en utilisant un logiciel cracké se livrer aux victimes.
Le ransomware Xaro profite des victimes sans méfiance en se déguisant dans des fichiers d'archives apparemment inoffensifs provenant de plateformes douteuses se faisant passer pour des fournisseurs légitimes de logiciels gratuits.. La tactique trompeuse consiste à se faire passer pour un site proposant des logiciels gratuits, inciter les utilisateurs à télécharger ce qui semble être un programme d'installation inoffensif pour CutePDF, un logiciel d'écriture de PDF populaire.
PrivateLoader utilisé dans la campagne
A l'ouverture des archives, le supposé programme d'installation de CutePDF déclenche l'activation de PrivateLoader, un service de téléchargement de logiciels malveillants payant à l'installation. PrivateLoader établit une connexion avec un serveur de commande et de contrôle, lancer le téléchargement de diverses familles de logiciels malveillants, y compris des voleurs d'informations notoires comme Voleur RedLine et Vidar, ainsi que des chargeurs puissants tels que SmokeLoader et Nymaim.
Une caractéristique distinctive de cette attaque est sa “approche au fusil de chasse,” dans lequel plusieurs souches de logiciels malveillants sont déployées simultanément. Cette tactique stratégique garantit le succès de l'attaque, même si une charge utile est détectée et bloquée par des mesures de sécurité conventionnelles. La diversité des familles de malwares, chacun avec des capacités uniques, souligne la complexité du paysage des menaces.
Fidèle à sa nature de ransomware, Xaro chiffre non seulement les fichiers au sein de l'hôte infecté, mais déploie également une instance du voleur d'informations Vidar.. Cette approche à double menace vise à maximiser l’impact sur les systèmes ciblés, combinant le cryptage de fichiers à des fins d'extorsion avec le vol d'informations à des fins potentielles double extorsion scénarios.
Lors du cryptage des fichiers, Xaro émet une demande de rançon, exigeant le paiement de $980 pour la clé privée et l'outil de décryptage. Notamment, ce montant de la rançon est réduit de moitié à $490 si la victime contacte l'acteur menaçant dans 72 heures, ajoutant un sentiment d'urgence à la tentative d'extorsion.
Les risques des logiciels gratuits provenant de sources non fiables
Cette chaîne d'attaques nous rappelle brutalement les risques associés au téléchargement de logiciels gratuits à partir de sources non fiables.. Alors que les auteurs de menaces privilégient de plus en plus les logiciels gratuits comme méthode de transmission secrète du code malveillant, les utilisateurs et les entreprises doivent être vigilants et adopter des mesures de cybersécurité strictes pour se défendre contre stratégies évolutives contre les ransomwares.