Depuis ce matin nos systèmes de filtrage constatent une augmentation importante des flux de cryptolockers, dans des versions inconnues et évoluées.

Nous connaissons maintenant bien le fonctionnement des cryptolockers : une pièce jointe qui contient un code obfusqué capable dans un cas de chiffrer directement la machine de la victime, dans l’autre de télécharger un exécutable qui se chargera du chiffrement, la finalité étant une infection complète sur le réseau local, et une demande de rançon.
Voici les principaux points de nouveauté que nos experts ont décelé dans cette version :
– Le ciblage se fait en français :
Les contenus sont modifiés quasiment à chaque envoi, ainsi que les noms et le format (.doc ou .docx) des pièces jointes.
Les développeurs ont notamment utilisé un générateur de noms et prénoms pour rendre la signature plus crédible (voir exemples (1) en bas de cette page).

-L’ajout de la pièce jointe dans la création de l’e-mail utilise volontairement des erreurs (une incompatibilité avec la norme e-mail, RFC 822 et suivantes) afin de volontairement tromper les antivirus et antivirus en ligne : on sait que beaucoup de clients de messagerie vont corriger ces erreurs à la réception, par contre, si un logiciel de sécurité respecte la norme RFC 822 par exemple, il ne détectera pas de pièce jointe dans l’e-mail, et ne l’analysera donc pas.
Malgré ces « erreurs » volontaires, Ico.Antivirus-Antispam scanne l’ensemble. Notre système dispose d’une programmation originale qui analyse les blocs de données encodés (base64, Binhex, Uuencode, etc) sans suivre les informations fournies normalement par les entêtes du message.

– La méthode d’obfuscation du code évolue également : le code VB (Visual Basic) ne se trouve plus dans un seul composant, mais est séparé dans plusieurs composants plus petits et plus nombreux, de façon à avoir des codes plus courts à chaque fois, qui s’appellent ensuite via objet OLE (crée la relation entre les différents objets VB dans le document Office). Dans ce cas, encore une fois, le but est de perdre l’antivirus dans son analyse.

– Chaque partie de code malveillant VB du document essaye d’utiliser une fonction différente pour exécuter un binaire. L’objectif étant clairement d’outrepasser les différents blocages de sécurité de Microsoft Office, entre autres.

– Nos experts ont également relevés plusieurs tentatives d’exploit dans certains codes VB. Nous avons clairement identifié la tentative d’exploit de CVE-2018-8174, qui date de début mai 2018.

– En plus de l’obfuscation, les développeurs ont mis en place un système de chiffrement permettant de bien cacher les parties de code risquées aux antivirus classiques…

-Les développeurs ne se sont pas arrêtés en si bon chemin : le document contient plusieurs faux certificats de sécurité Microsoft. Il s’agit ici de prouver que le document est authentique et de ne pas avoir d’alerte à l’ouverture de Microsoft Word.
L’e-mail contenant le virus est signé via une clé DKIM, avec une signature valide (afin d’augmenter encore la confiance utilisateur…). DKIM (DomainKeys Identified Mail) est une norme d’authentification fiable du nom de domaine de l’expéditeur d’un courrier électronique. Elle constitue normalement une protection efficace contre le spam et l’hameçonnage.

– Autre nouveauté, on retrouve du code JavaScript. Sans doute une petite surprise pour les utilisateurs d’Office365 en ligne…

– Enfin, une grande partie des envois se fait depuis des serveurs ou CMS détournés avec des IP majoritairement française, ou, européennes. L’objectif étant de passer outre certains filtres par géolocalisation.

La méthode semble efficace puisque sur le test virustotal qui utilise 59 antivirus, aucun n’a détecté celui-ci !

Ico.Antivirus-Antispam détecte et classifie cette nouvelle variante avec un score de détection situé entre 15 et 21. Ce ratio de détection est très élevé : habituellement, si le score est supérieur à 3, le message est directement détecté en Win32/Worm.OfficeBin.Heur.B(Ico) et supprimé : pas de risque pour nos utilisateurs donc !

Voici quelques exemples :
(1) ————————————————————–
Chèr(e) XXX,
Nous avons bien reçu votre commande 0373434 du 30\05\2018 et vous adressons
ci-joint un duplicata de votre facture.
En vous remerciant par avance.
Bon courage et bonne journée à vous,
Florence XXXXXXXX
(2) ————————————————————–
Chèr(e) XXX,
Je vous prie de bien vouloir revenir vers moi afin de me fixer sur le sort de cette facture et sur
son éventuelle taxation d’office.
Toute notre équipe reste à votre écoute.
Cordialement,
Claudine XXXXXXXX
————————————————————–

Le sujet du mail indique qu’il s’agit d’une facture datant du 30 mai. On essaye de cette façon de faire croire qu’il s’agit d’un message récent, mais urgent. De façon à augmenter le stress de la victime et faire baisser sa vigilance. En voici un bon exemple, « légèrement » menaçant :

(3) —————————————————————————
Salut,
Facture pour votre commande.
Je vous prie de croire, en mes sentiments les meilleurs.
Bonne journée,
SEBASTIEN XXXXXXXX
Envoyé de mon iPhone.
—————————————————————————
Bonjour,
Je vous rappelle que vous n’avez pas réglé les montants réclamés dans notre courrier recommandé
du 24 mai dernier pour les surcouts dus à votre non-respect de vos
engagements contractuels.
Nous vous facturerons prochainement les surcouts occasionnés depuis décembre dernier.
Avec nos meilleures salutations.
Bon courage et bonne journée à vous,
Florence XXXXXXXX
—————————————————————————