Une variante du ransomware Paradise cible les fichiers IQY

Une nouvelle variante du ransomware Paradise attaque les fichiers IQY de Microsoft Office Excel. C’est donc une nouvelle méthode qui permet d’infiltrer et de pirater le réseau d’une organisation.

James Haughom, Lastline Labs, a découvert la variante en décembre dans une campagne de spam exécutée sur deux jours qui visait une organisation en Asie, a-t-il écrit dans un article de blog sur la campagne.

La variante tente d’inciter les utilisateurs à ouvrir une pièce jointe IQY qui récupère une formule Excel malveillante sur le serveur C2 (command-and-control) d’un attaquant, a-t-il déclaré. “Cette formule, à son tour, contient une commande qui permet d’exécuter une commande PowerShell qui va télécharger et invoquer un exécutable”, a déclaré Haughom dans son article.

paradise

Le ransomware Paradise est actif depuis 2017, bien qu’il ne soit pas aussi connu que les autres campagnes de ransomware. Cependant, il possède certaines caractéristiques uniques qui l’aident à contourner la sécurité, ce qui en fait une option attrayante pour les cybercriminels, a déclaré Haughom.

“Très peu de gens connaissent le ransomware Paradise”, a déclaré le chercheur. «Ce ransomware contient quelques techniques d’évasion qui s’avèrent intéressantes et efficaces, comme l’implémentation manuelle de son algorithme de chiffrement à la source pour éviter les appels d’API.»

Comment fonctionne cette nouvelle variante de Paradise?

La nouvelle variante de Paradise utilise également l’évasion mais aussi les fichiers IQY, pour attaquer un réseau, a observé Haughom. IQY, ou fichiers de requête Internet, sont de simples fichiers texte qu’Excel lit pour télécharger des données sur Internet. Ils ne sont pas souvent exploités par les pirates, même s’ils peuvent se cacher sur le réseau d’une victime, a-t-il déclaré.

«Ce type de fichier peut être utilisé pour télécharger une formule (commande) Excel qui pourrait abuser d’un processus système, tel que PowerShell, cmd, mshta ou tout autre LoLBins (binaires Living-off-the-Land)», a expliqué Haughom. “Comme il s’agit d’un type de fichier Excel légitime, de nombreuses organisations ne le bloqueront pas ou ne le filtreront pas.”

En effet, si une organisation ne dispose pas d’un dispositif de sécurité qui analyse les pièces jointes, les fichiers IQY malveillants – qui n’ont pas de payload typique – ne seront pas signalés comme des logiciels malveillants, a-t-il déclaré.

«Ces procédés s’appuient généralement sur la réputation de ces URL, les solutions les plus robustes ont la capacité d’analyser réellement le contenu renvoyé par l’URL», écrit Haughom dans sa publication.

dridex 5ss5c

Une fois que l’exécutable de la nouvelle campagne de Paradise est déclenché sur le réseau d’une victime, il se décompresse en utilisant l’auto-injection pour se copier vers un nouvel emplacement en mémoire, transfère le flux de contrôle vers cette copie de lui-même, puis remplace l’exécutable d’origine dans la mémoire par le ransomware décompressé, a expliqué Haughom.

Après s’être établi sur le réseau, la fonction commence le processus de rançongiciel en tentant de désactiver Windows Defender en changeant la valeur de registre de DisableAntiSpyware par la valeur 1, a-t-il écrit.

“Le malware Paradise tente ensuite de tuer tous les processus contenant des chaînes spécifiques”, a déclaré Haughom. «Les ransomwares obligent généralement les applications ciblées à se fermer pour garantir la libération des descripteurs des fichiers d’intérêt. Cela permet au malware d’obtenir ensuite des descripteurs sur ces fichiers importants pendant le processus de chiffrement. »

Le chiffrement de la variante présente également des propriétés uniques, en particulier dans l’algorithme utilisé, qui exploite le cipher de flux Salsa20 pour chiffrer les fichiers de la victime, a-t-il déclaré. Cela rend les choses plus difficiles pour les responsables de la sécurité qui doivent répondre à l’attaque, a déclaré Haughom.

“L’avantage de l’utilisation de cet algorithme est que les auteurs de logiciels malveillants peuvent l’implémenter dans leur code source plutôt que d’appeler des fonctions à partir d’une bibliothèque de chiffrement”, a-t-il écrit. «Cela rend la détection de la routine de chiffrement plus difficile et rend également la détermination du type de chiffrement utilisé un peu plus difficile pour les analystes de logiciels malveillants.»

Une fois les fichiers chiffrés, la nouvelle variante de Paradise ouvre automatiquement une note de rançongiciel demandant à la victime de visiter un chat en ligne pour recevoir des instructions sur la méthode à suivre pour déchiffrer les fichiers.

De nombreuses organisations n’auront probablement pas le type de solutions de sécurité en place pour détecter une attaque venant de cette nouvelle campagne, car les fichiers IQY ne contiennent que des URL, pas des payloads, a déclaré Haughom. Cela signifie que si une organisation est victime d’une attaque, les responsables de la sécurité devront probablement s’appuyer sur un service de réputation d’URL tiers pour faciliter les efforts de réponse, a-t-il déclaré.

Si cet article vous a plu, jetez un œil à notre article précédent.