Les faits

Un nouveau virus vient de faire son apparition. Il s’agit à l’origine d’une pièce jointe au format .iso ou .img envoyée par e-mail. Le contenu de l’e-mail est un scam de demande de devis.

Capture d'un e-mail

Les nouveautés

Fait assez inhabituel, le poids de la pièce jointe fait aux environs de 2 Mo, ce qui reste assez rare pour un virus envoyé en masse. Pour des raisons de performances, la plupart des solutions d’antivirus e-mail en SaaS ne scannent par les pièces jointes dont le poids dépasse 500 Ko. Cette méthode permet donc d’outrepasser les sécurités de ces solutions.
IcoCerberus.Mel a pu le détecter car il n’a pas de limite de taille des pièces jointes.

Le fonctionnement du virus

Le fichier .iso ou .img s’ouvre directement lorsqu’on clique dessus dans son client de messagerie, sous Windows 10, par exemple.
Une fois ouvert par Windows, l’exécutable dispose d’un fichier icône dans sa zone data, affiché par Windows. L’utilisateur ne visualisera donc pas l’icône classique d’un exécutable, mais celle d’un fichier Word, Excel ou d’un fichier texte, par exemple. Cela trompe l’utilisateur.
Le risque est augmenté si l’utilisateur de Windows 10 n’affiche pas les extensions de fichiers connus (c’est le cas par défaut sur toutes les versions de Windows). Dans ce cas, il ne voit pas qu’il s’agit d’un fichier .exe, et a donc un risque important de se faire piéger.

En cas d’exécution, le virus communique avec un serveur distant, qui est en mesure d’installer d’autres virus, notamment des ransomwares.

L’origine

Le virus semble venir de la plateforme du darknet nommée « OffensiveWare », qui offre la possibilité d’exécuter du code malveillant, et de télécharger d’autres applications malveillantes sur la machine de la victime.

L’impact

IcoCerberus.Mel, grâce à son intelligence analytique et ses algorithmes convertissant les fichiers en représentations logiques, a détecté, analysé et classifié la menace en W32/Worm.ISOEXE.A(Ico) : nos utilisateurs sont protégés.

En conclusion

Notre solution a identifié et traité une nouvelle forme de contenu malveillant. Elle l’a fait sans intervention humaine, ce qui atteste de son intelligence et de la pertinence de ses prises de décisions.
la décision a été prise dès la première occurrence, démontrant ainsi la réactivité de l’IA. Cette tentative et ses évolutions n’infecteront donc aucun de nos utilisateurs.
L’absence de limite sur l’analyse des pièces jointes montre notre volonté de proposer une solution sans compromis.