Durant le mois de janvier 2019, nous avons pu observer une hausse spectaculaire des détections de pièces jointes malveillantes à des courriels JavaScript, un vecteur d'attaque qui, pour la plupart, est resté inactif tout au long de 2018. Parmi les campagnes de spam malveillants qui s'appuient sur ce vecteur, nous avons détecté une nouvelle vague de pourriels en langue russe qui distribue un rançongiciel connu sous les noms de Shade ou Troldesh et détecté par ESET comme étant Win32/Filecoder.Shade.
Cette campagne semble faire suite à une campagne de spam malveillant, qui a commencé à distribuer le rançongiciel Shade en octobre 2018.
La campagne de janvier 2019
Notre télémétrie montre que la campagne d'octobre 2018 s'est déroulée à un rythme constant jusqu'à la deuxième moitié de décembre 2018, avant de prendre une pause vers Noël, et de reprendre à la mi-janvier 2019 jusqu’à doubler de taille, comme le montre la Figure 1. Les baisses dans le graphique semblent correspondre aux fins de semaine, ce qui suggère que les attaquants favorisent les adresses de courrier électronique des entreprises.
Figure 1 - Détection de pièces jointes JavaScript malveillantes diffusant Win32/Filecoder.Shade depuis octobre 2018
Comme mentionné précédemment, cette campagne fait partie d'une tendance plus large que nous avons observée depuis le début de 2019, c’est-à-dire le retour des pièces jointes JavaScript malveillantes comme vecteur d'attaque largement utilisé. La figure 2 illustre cette évolution telle qu'elle ressort de notre télémétrie.
Figure 2 - Détections de JavaScript malveillant distribué via des pièces jointes à des courriels, qui sont détectées comme JS/Danger.ScriptAttachment, au cours de la dernière année
Il convient de noter en particulier que la campagne de diffusion du rançongiciel Shade en janvier 2019 a été la plus active en Russie, avec 52 % du total des détections de ces pièces jointes JavaScript malveillantes. Parmi les autres pays touchés figurent l'Ukraine, la France, l'Allemagne et le Japon, comme le montre la figure 3.
Figure 3 - Distribution des détections ESET des pièces jointes JavaScript malveillantes diffusant Win32/Filecoder.Shade du 1er janvier 2019 au 24 janvier 2019
Sur la base de notre analyse, une attaque typique de la campagne de janvier 2019 s’amorce par la livraison d'un message électronique écrit en russe, avec une archive ZIP jointe nommée « info.zip » ou « inf.zip ».
Ces courriels malveillants se présentent comme des mises à jour de commandes, provenant apparemment d'organisations russes légitimes. Les courriels que nous avons vus usurpent l'identité de la banque russe B&N Bank (note : fusionnée récemment avec Otkritie Bank), et de la chaîne de détail Magnit. L’un des emails détectés par les systèmes ESET, pourrait se traduire ainsi :
Objet : Détails de la commande
Bonjour !
Je vous envoie les détails de la commande. Le document est joint en annexe.
Denis Kudrashev, manager
Figure 4 – Example of a spam email used in the January 2019 campaign
L'archive ZIP contient un fichier JavaScript nommé « Информация.js » (qui se traduit par « Information »). Une fois extrait et lancé, le fichier JavaScript télécharge un chargeur malveillant, détecté par les produits ESET comme Win32/Injector. Le chargeur malveillant déchiffre et lance la charge utile finale - le rançongiciel Shade.
Le chargeur malveillant est téléchargé à partir d'URL sur des sites WordPress légitimes et compromis, où il est déguisé en fichier image. Pour compromettre les pages de WordPress, les attaquants ont utilisé des attaques en force brute de mots de passe à grande échelle effectuées par des robots automatisés. Nos données de télémétrie montrent des centaines d'URL de ce type, se terminant toutes par la chaîne « ssj.jpg », hébergeant le fichier du chargeur malveillant.
Le chargeur est signé à l'aide d'une signature numérique invalide qui prétend être émise par Comodo, comme le montre la figure 5. Le nom dans « Informations sur le signataire » et l'horodatage sont uniques pour chaque échantillon.
Figure 5 - Fausse signature numérique utilisée par le chargeur malveillant
En outre, le chargeur tente de se déguiser davantage en se faisant passer pour le processus système légitime Client Server Runtime Process (csrss.exe). Il se copie lui-même dans C:\ProgramData\Windows\csrss.exe, où « Windows » représente un dossier caché créé par le logiciel malveillant et n'est normalement pas situé dans ProgramData.
Figure 6 - Le logiciel malveillant se présentant comme un processus système et utilisant des détails de version copiés à partir d'un binaire Windows Server 2012 R2 légitime
Le rançongiciel Shade
La dernière charge utile de cette campagne malveillante est un crypto-rançongiciel appelé Shade ou Troldesh. D'abord vu à l'état sauvage à la fin de 2014, mais réapparaissant fréquemment depuis, le rançongiciel chiffre un large éventail de types de fichiers sur les lecteurs locaux. Dans la récente campagne, le logiciel de rançon ajoute l'extension .crypted000007 aux fichiers chiffrés.
Les instructions de paiement sont présentées aux victimes dans un fichier TXT, en russe et en anglais, qui est déposé sur tous les lecteurs de l'ordinateur concerné. Le libellé de la demande de rançon est identique à celui de la campagne d'octobre 2018, dont il a été question précédemment.
Figure 7 - La demande de rançon de Shade à partir de janvier 2019
Comment rester en sécurité
Pour éviter d'être victime de spams malveillants, vérifiez toujours l'authenticité des messages avant d'ouvrir une pièce jointe ou de cliquer sur un lien. Si nécessaire, vérifiez auprès de l'organisation qui semble avoir envoyé le courriel en utilisant les coordonnées fournies sur son site Web officiel.
Pour les utilisateurs de Gmail, il est intéressant de noter que, depuis près de deux ans, Gmail bloque les pièces jointes JavaScript dans les messages reçus et envoyés.
Les utilisateurs d'autres services de messagerie, y compris les serveurs de messagerie d'entreprise, doivent se fier à leur vigilance, à moins d’utiliser une solution de sécurité capable de détecter et de bloquer les fichiers JavaScript malveillants.
Plusieurs modules des produits de sécurité ESET détectent et bloquent indépendamment les fichiers JavaScript malveillants.
Pour éviter de compromettre votre site Web WordPress, utilisez un mot de passe fort et l’authentification à deux facteurs. Assurez-vous également mettre à jour régulièrement WordPress lui-même, ainsi que les plugins et thèmes WordPress.
Indicateurs de compromission (IoCs)
Exemples de hashes provenant des pièces jointes ZIP malveillantes
| 0A76B1761EFB5AE9B70AF7850EFB77C740C26F82 |
|---|
| D072C6C25FEDB2DDF5582FA705255834D9BC9955 |
| 80FDB89B5293C4426AD4D6C32CDC7E5AE32E969A |
| 5DD83A36DDA8C12AE77F8F65A1BEA804A1DF8E8B |
| 6EA6A1F6CA1B0573C139239C41B8820AED24F6AC |
| 43FD3999FB78C1C3ED9DE4BD41BCF206B74D2C76 |
| ESET detection name: JS/Danger.ScriptAttachment |
Exemples de hashes provenant des downloaders JavaScript
| 37A70B19934A71DC3E44201A451C89E8FF485009 |
|---|
| 08C8649E0B7ED2F393A3A9E3ECED89581E0F9C9E |
| E6A7DAF3B1348AB376A6840FF12F36A137D74202 |
| 1F1D2EEC68BBEC77AFAE4631419E900C30E09C2F |
| CC4BD14B5C6085CFF623A6244E0CAEE2F0EBAF8C |
| ESET detection name: Win32/Injector |
Exemples de hashes du rançongiciels de Shade
| FEB458152108F81B3525B9AED2F6EB0F22AF0866 |
|---|
| 7AB40CD49B54427C607327FFF7AD879F926F685F |
| 441CFA1600E771AA8A78482963EBF278C297F81A |
| 9023B108989B61223C9DC23A8FB1EF7CD82EA66B |
| D8418DF846E93DA657312ACD64A671887E8D0FA7 |
| ESET detection name: Win32/Filecoder.Shade |
Chaîne spécifique à la campagne dans les URL hébergeant le rançongiciel Shade
| hxxp://[redacted]/ssj.jpg |
|---|
