Le rançongiciel Zeppelin de retour avec un nouveau trojan

Le rançongiciel Zeppelin est de retour après une interruption de plusieurs mois.

Une vague d’attaques a été repérée en Août par les chercheurs de Juniper Threatlab, utilisant un nouveau téléchargeur de chevaux de Troie. Tout comme la première vague de Zeppelin observée à la fin de l’année 2019, cette campagne d’infection commence par des e-mails d’hameçonnage avec des pièces jointes Microsoft Word contenant des macros malveillantes. Une fois qu’un utilisateur active les macros, le processus d’infection démarre.

Dans cette dernière campagne, des extraits de scripts Visual Basic sont masqués parmi le texte indésirable derrière diverses images. Les macros malveillantes analysent et extraient ces scripts et les écrivent dans un fichier à l’emplacement c:\wordpress\about1.vbs.

zeppelin

Une deuxième macro recherche alors la chaîne «winmgmts: Win32_Process» dans le texte du document et l’utilise pour exécuter about1.vbs à partir du disque. About1.vbs est le téléchargeur de chevaux de Troie susmentionné, qui télécharge finalement le rançongiciel Zeppelin sur la machine d’une victime.

Le binaire dort pendant 26 secondes «dans une tentative d’attendre l’analyse dynamique dans une sandbox automatisée, puis exécute l’exécutable du rançongiciel», selon l’analyse récemment publiée. “Comme pour les versions précédentes, l’exécutable Zeppelin vérifie les paramètres de langue de l’ordinateur et la géolocalisation de l’adresse IP de la victime potentielle pour éviter d’infecter les ordinateurs en Russie, en Biélorussie, au Kazakhstan et en Ukraine.”

zeppelin

En ce qui concerne l’attribution, selon des recherches antérieures de Vitali Kremez, Zeppelin est un simple morceau de code distribué via une entreprise affiliée: le malware est généré via un assistant GUI et proposé aux distributeurs en échange d’une part de revenus.

Portée de Zeppelin

La dernière campagne a atteint environ 64 victimes, ont noté les chercheurs de Juniper, indiquant un certain niveau de ciblage. Elle a peut-être commencé le 4 juin, lorsque le serveur de commande et de contrôle (C2) utilisé par le logiciel malveillant a été enregistré et les données DNS passives montrent que la campagne aurait pris fin le 28 août au moins. Le 28 août est la résolution de nom la plus récente pour le domaine C2, selon les données DNS passives.

«[Cela] pourrait indiquer que le logiciel malveillant n’a pas infecté de nouveaux réseaux au cours des derniers jours», selon le message.

Zeppelin est une variante de la famille de ransomware-as-a-service (RaaS) basée sur Delphi, initialement connue sous le nom de Vega ou VegaLocker, qui a émergé au début de l’année 2019 dans des publicités sur Yandex.Direct basé en Russie, selon BlackBerry Cylance. Contrairement à son prédécesseur, Zeppelin est beaucoup plus précis et a d’abord ciblé des entreprises de technologie et de santé en Europe et aux États-Unis.

Si cet article vous a plu, jetez un œil à notre article précédent.

S’abonner
Notifier de
guest
0 Commentaires
Inline Feedbacks
View all comments
0
Would love your thoughts, please comment.x
()
x