Il a été observé qu’une variante d’une souche de ransomware connue sous le nom de DJVU était distribuée sous la forme d’un logiciel piraté.
« Bien que ce modèle d’attaque ne soit pas nouveau, des incidents impliquant une variante de DJVU qui ajoute l’extension .xaro aux fichiers concernés et exigent une rançon pour un décrypteur ont été observés, infectant les systèmes aux côtés d’une multitude de chargeurs de produits et de voleurs d’informations », Ralph Villanueva, chercheur en sécurité chez Cybereason. dit.
La nouvelle variante a été baptisée Xaro par la société américaine de cybersécurité.
DJVU, en soi un variante du rançongiciel STOP, arrive généralement sur les lieux en se faisant passer pour des services ou des applications légitimes. Il est également fourni sous forme de charge utile de SmokeLoader.
Un aspect important des attaques DJVU est le déploiement de logiciels malveillants supplémentaires, tels que des voleurs d’informations (par exemple, RedLine Stealer et Vidar), ce qui les rend plus dommageables par nature.
Dans la dernière chaîne d’attaque documentée par Cybereason, Xaro se propage sous la forme d’un fichier d’archive provenant d’une source douteuse qui se fait passer pour un site proposant des logiciels gratuits légitimes.
L’ouverture du fichier d’archive entraîne l’exécution d’un supposé binaire d’installation pour un logiciel d’écriture de PDF appelé CutePDF qui, en réalité, est un service de téléchargement de logiciels malveillants payant à l’installation connu sous le nom de PrivateLoader.
PrivateLoader, pour sa part, établit un contact avec un serveur de commande et de contrôle (C2) pour récupérer un large éventail de familles de logiciels malveillants voleurs et chargeurs comme RedLine Stealer, Vidar, Lumma Stealer, Amadey, SmokeLoader, Nymaim, GCleaner, XMRig et Fabookie, en plus de laisser tomber Xaro.
« Cette approche brutale du téléchargement et de l’exécution de logiciels malveillants de base est couramment observée dans les infections PrivateLoader provenant de sites suspects de logiciels gratuits ou de logiciels piratés », a expliqué Villanueva.
L’objectif semble être de collecter et d’exfiltrer des informations sensibles en vue d’une double extorsion ainsi que d’assurer le succès de l’attaque même si l’une des charges utiles est bloquée par un logiciel de sécurité.
Xaro, en plus de générer une instance du voleur d’informations Vidar, est capable de crypter les fichiers de l’hôte infecté, avant de déposer une demande de rançon, invitant la victime à contacter l’acteur malveillant pour payer 980 $ pour la clé privée et l’outil de décryptage. un prix qui baisse de 50 % à 490 $ s’il est approché dans les 72 heures.
Au contraire, l’activité illustre les risques liés au téléchargement de logiciels gratuits à partir de sources non fiables. Le mois dernier, Sucuri a détaillé une autre campagne intitulée FakeUpdateRU dans lequel les visiteurs de sites Web compromis reçoivent de fausses notifications de mise à jour du navigateur pour diffuser RedLine Stealer.
« Les acteurs de la menace sont connus pour favoriser la déguisation de logiciels gratuits comme moyen de déployer secrètement du code malveillant », a déclaré Villanueva. « La rapidité et l’ampleur de l’impact sur les machines infectées doivent être soigneusement comprises par les réseaux d’entreprise qui cherchent à se défendre et à défendre leurs données. »