Un ransomware en JScript qui s’en prend aux mots de passe et aux portefeuilles bitcoin

ransomware_lockPour multiplier leurs cibles et s’en perdre à toujours plus de victimes, les concepteurs de ransomware n’hésitent plus s’éloigner des familles connues de ransomware pour s’orienter vers de nouvelles techniques pour commettre leurs exactions.

C’est le cas pour le ransomware RAA, détecté par Trend Micro en tant que RANSOM_JSRAA.A. Si la majorité des ransomware se présente sous la forme d’exécutable (.exe, .dll), RAA est entièrement conçu en langage de script, interprété par les navigateurs Web.

Cette variante de ransomware est codée en JScript, et non JavaScript. Ce langage de script est conçu pour les systèmes Windows et interprété par le moteur Windows Scripting Host via Microsoft Internet Explorer (IE). Mais il ne peut, cependant, être exécuté par le nouveau navigateur Edge.

Si les cybercriminels optent pour JScript, c’est sans doute pour rendre la détection de leur malware encore plus difficile.

1.RANSOM_JSRAA_A

 

 

 

 

 

 

 

 

 

 

Figure 1. La demande de rançon de RAA, en Russe, donne les instructions sur comment transférer 0,39 Bitcoin (environ 200 EUR/ 250 USD), afin d’obtenir la clé et le logiciel nécessaire pour déchiffrer les fichiers infectés.

JScript se rapproche de JavaScript : ceux deux langages, conformes à ECMAScript,  sont d’ailleurs compatibles à un certain degré. Pour faire simple, JScript vise les environnements Microsoft tandis que JavaScript cible davantage Mozilla. Parmi les différences notables, la capacité de JScript à accéder aux objets ActiveX d’IE et à certains objets systèmes comme  WScript.

2.JScript_proof

 

 

 

 

 

Figure 2.  La ligne 6 fait référence à WScript, qui est spécifiquement lié à JScript.

Pourquoi JScript?

L’utilisation du scripting par les ransomware n’est guère nouvelle. L’outil de téléchargement Cryptowall 4.0 était codé en JScript; PowerWare utilisait le langage de scripting PowerShell pour faire le sale boulot. Ransom32 était entièrement codé en JavaScript et comportait un client Tor, Node.js et les modules classiques utilisés pour exécuter le script.

La majorité des malware sont codés dans un langage de programmation compilable pour donner lieu à un exécutable. Ainsi, en optant pour un langage peu commun, les cybercriminels espèrent rester furtifs.  Car il s’agit d’une course contre la montre : ces cybercriminels doivent maximiser leur profit et, pour cela, leur malware doit rester indétecté  aussi longtemps que possible.

Ces langages sont simples à utiliser et présentent une portabilité étendue. Les machines actuelles sous Windows OS peuvent les exécuter sans changement requis au niveau du code.  Par exemple, Windows Scripting Host est compatible JScript depuis Windows XP.

Au cœur du code de RAA

Pour s’exécuter, RAA a besoin de Windows Script Host , tandis que l’exécution des objets Active X doit être autorisée par le navigateur IE. Mais avec l’utilisation de l’objet “WScript,” dans différentes parties de RAA, la ligne ci-dessous provoquera une erreur dans Chrome.

3.fig2_raasomware

 

 

Figure 3. Message d’erreur de la menace sur Chrome

D’autre part, ce malware peut toujours être exécuté par un simple clic sur le script en lui-même, via un fichier joint dans un email de spam, un objet dans un document Office, voire une ligne de commande. Le nom du fichier peut être un de ceux-là.

  • st.js
  • ST.js
  • mgJaXnwanxlS_doc_.js
  • jmgJaXnwanxlS_doc_.js
  • jRANSOMWARESCRIPT_PONYDOWNLOADER.js (bien que peu utilisé car il apparait suspect même auprès de novices utilisateurs).

Après enquête, on peut affirmer que RAA utilise CryptoJS en tant que processus de chiffrement. Il s’agit d’une bibliothèque open-source d’algorithmes de chiffrement pour JavaScript, compatibles  AES-128, AES-192 et AES-256 :

var clear_tpcVJWrQG = CryptoJS.enc.Base64.parse(tpcVJWrQG);

Les données chiffrées se voient rajouter une extension .locked à leur nom de fichier. A ce jour, RAA chiffre 16 types de fichiers, mais les fichiers situés dans les répertoires suivants ne sont pas chiffrés :

  • Program Files (x86 également)
  • Windows
  • Corbeille
  • Recycler
  • AppData
  • Temp
  • ProgramData
  • Microsoft

À l’aide d’un encodage en base64, RAA installe le logiciel de détournement de données FAREIT (connu également en tant que Pony). Ce malware exfiltre les identifiants de connexion stockés sur des clients FTP, certains logiciels de gestion de fichiers, des clients emails comme Outlook, des navigateurs Web et même des portefeuilles bitcoin. Ces données sont envoyées vers un serveur Command & Controlr (C&C).  La clé de registre, liée à Volume Shadow Service est, par ailleurs, effacée:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\VSS

Les opérations de sauvegarde et de backup sont ainsi désactivées, tandis que les applications sur les systèmes continuent à écrire vers les volumes. Ce qui rend la menace d’autant plus dangereuse.

À l’instar de DMA Locker 4.0 (détecté en tant que RANSOM_MADLOCKER.B) et de certaines variantes du crypto-ransomware JIGSAW, RAA permet de déverrouiller quelques fichiers gratuitement, afin de rassurer la victime quant à la possibilité de récupérer ses données après règlement de la rançon. Ce ransomware dispose également d’un “support client” via Bitmessage, un protocole de communication P2P décentralisé utilisé pour envoyer les messages chiffrés.

Les solutions Trend Micro

Les cybercriminels continuent à utiliser des stratégies intelligentes pour infecter autant de systèmes que possible en y injectant un ransomware. Dans ce cas, ils utilisent un langage de script pour éviter de se faire détecter, et donc de se faire supprimer du système infecté.

Il devient, plus que jamais,essentiel d’appliquer la règle du 3-2-1 en matière de sauvegarde des fichiers : 3 copies de sauvegarde de vos données sur 2 supports différents, avec 1 de ces copies stockée en un lieu distinct et sécurisé. D’autre part, les organisations et les utilisateurs doivent privilégier une défense multicouche pour juguler ce type de menaces.

Trend Micro offre des solutions de sécurité dédiées aux grandes entreprises, aux PME et au grand public, pour maîtriser le risque d’infection par des ransomware tels que RAA.

Les entreprises doivent déployer une sécurité multicouche pour neutraliser les ransomware et les risques associés. Les solutions de sécurité pour passerelles email et Web, à l’image Trend Micro™ Deep Discovery™ Email Inspector et d’InterScan™ Web Security, neutralisent les ransomware en amont des utilisateurs finaux. Au niveau du poste de travail, Trend Micro Smart Protection Suites offre de nombreuses fonctionnalités, comme le monitoring comportemental, le contrôle applicatif ou la prise en charge des vulnérabilités. Trend Micro Deep Discovery Inspector identifie et neutralise les ransomware présents sur le réseau, tandis que Trend Micro Deep Security™ protège les serveurs physiques, virtualisés et Cloud de l’entreprise.

Pour les petites entreprises, Trend Micro Worry-Free Services Advanced offre la solution de sécurité email Hosted Email Security, basée dans le Cloud. La protection des Endpoints est également assurée via un monitoring comportemental et des services de réputation Web en temps réel qui détectent et neutralisent les ransomware.

Quant au grand public, il est invité à tester Trend Micro Security 10, un antimalware capable de combattre les ransomware, en neutralisant l’accès aux sites web, aux emails et aux fichiers associés à cette menace.

Trend Micro propose également des outils gratuits : Trend Micro Lock Screen Ransomware Tool, pour détecter et supprimer les ransomware qui verrouillent les écrans, ainsi que Trend Micro Crypto-Ransomware File Decryptor Tool.

Leave a Reply

Your email address will not be published. Required fields are marked *