De nombreuses campagnes de phishing ont été détectées, utilisant le nouveau coronavirus comme appât. Récemment, une nouvelle variante de ransomware appelée CoronaVirus a été détectée et analysée par MalwareHunterTeam.
Le ransomware CoronaVirus est distribué par un site web malveillant et il se fait passer pour un logiciel appelé WiseCleaner. Cet outil peut être utilisé pour nettoyer le registre et supprimer les fichiers dupliqués ainsi que les fichiers indésirables des ordinateurs.
WiseCleaner est un outil logiciel légitime, mais le site web utilisé dans cette campagne est un faux.
On ignore actuellement comment le trafic vers le site web a été généré. Les campagnes de ce type utilisent généralement de la publicité malveillante diffusée via les réseaux publicitaires et qui redirige les utilisateurs vers des sites web malveillants. Ces publicités sont affichées sur de nombreux sites web légitimes qui utilisent des réseaux publicitaires tiers pour générer des revenus supplémentaires.
Si un internaute essaie de télécharger WiseCleaner à partir du site web malveillant (le site web authentique étant wisecleaner.com), un fichier nommé WSHSetup.exe sera téléchargé. L’exécution de ce fichier téléchargera deux charges utiles malveillantes : le ransomware CoronaVirus et le cheval de Troie Kpot.
Le cheval de Troie Kpot est un voleur d’informations qui dérobe une variété d’informations d’identification sur différentes sortes d’applications comme Skype, Steam, Discord, VPN, la messagerie électronique ainsi que les mots de passe FTP.
Le cheval de Troie Kpot vole des informations telles que les références bancaires qui ont été enregistrées dans les navigateurs et peut également voler des porte-clés cryptographiques.
Le fichier exécutable tente également de télécharger d’autres fichiers, bien qu’actuellement seuls deux fichiers aient été téléchargés. En effet, les pirates semblaient vouloir télécharger un cocktail de malwares.
Lorsque CoronaVirus est téléchargé et exécuté, il chiffre une série de fichiers différents. Les fichiers chiffrés sont renommés à l’aide de l’adresse électronique de l’attaquant, mais l’extension de fichier d’origine est conservée. Une note de rançon est déposée dans chaque dossier où les fichiers sont chiffrés.
Il est intéressant de noter que la demande de rançon est très faible. Les attaquants ne font payer que 0,08 Bitcoin, soit environ 512 euros, pour fournir les clés permettant de déchiffrer les fichiers. Cela dit, il semble donc que la « rançon » n’est pas l’objectif principal de la campagne. Il s’agit plutôt de distribuer le cheval de Troie Kpot, d’autres charges utiles et des malwares potentiellement malveillants. Le ransomware CoronaVirus n’est peut-être qu’une diversion.
Il n’existe actuellement aucune solution de déchiffrement connu pour le ransomware CoronaVirus et il n’est pas certain que les attaquants puissent – ou veuillent – fournir des clés valides permettant de récupérer des fichiers chiffrés.
Les entreprises peuvent se protéger contre de telles attaques en veillant à sauvegarder régulièrement tous leurs fichiers et à stocker les sauvegardes hors ligne. Une solution de filtrage web devrait également être mise en place pour empêcher le téléchargement de fichiers malveillants.
Les filtres web peuvent être configurés de manière à empêcher les employés de visiter des sites web malveillants et à bloquer les téléchargements de types de fichiers à risque, comme les fichiers .exe.
Pour plus d’informations sur le filtrage web et pour savoir comment WebTitan – la solution de filtrage web de TitanHQ – peut vous aider à protéger votre entreprise des cyberattaques, appelez l’équipe commerciale de TitanHQ dès aujourd’hui.