Une fausse application de suivi des contacts COVID-19 cache un ransomware de licorne
Habituellement, vous pouvez en dire beaucoup sur un cybercriminel de ses attaques. Les astuces qu'ils utilisent nous donnent souvent une bonne idée de la sophistication de l'adversaire, mais une récente campagne de distribution du rançongiciel Unicorn a prouvé que parfois, les apparences peuvent être trompeuses.
Table of Contents
Le rançongiciel Unicorn débarque dans les pharmacies italiennes
L'attaque a été détectée pour la première fois par un chercheur en sécurité sous le surnom de JamesWT. Il semble viser carrément les pharmacies italiennes, et il profite de la crise du COVID-19 pour inciter les utilisateurs à installer une souche de ransomware relativement nouvelle appelée Unicorn.
Également connu sous le nom de licorne F ***, le logiciel malveillant semble avoir été créé spécialement à cet effet, et il semble que l'attaque soit suffisamment importante pour justifier un avis de la part de l'équipe italienne de réponse aux urgences informatiques (CERT).
Les hackers se sont surpassés en matière d'ingénierie sociale
Cela commence par un e-mail censé provenir de la Fédération italienne des pharmaciens. Il indique que la Fédération lance une version bêta d'une application PC qui fournit des données en temps réel sur la propagation du nouveau coronavirus. Il existe un lien de téléchargement et les pirates ont utilisé une technique appelée typosquattage pour rendre l'URL plus convaincante.
Le site Web de la Fédération des pharmaciens italiens est http://www.fofi.it/ et le fichier exécutable est hébergé sur hxxtp: //www.fofl.it (avec un "L" en minuscules au lieu d'un "i"). En utilisant un domaine visuellement similaire, la victime est moins susceptible de remarquer que quelque chose ne va pas. Il existe encore plus de tactiques pour éloigner l'attention de l'activité malveillante.
Une fois lancé, le fichier malveillant affiche une carte avec des données qui semblent avoir été copiées de l'Université Johns Hopkins. Ce n'est en aucun cas une nouvelle tactique, mais il est presque certain de garder la victime distraite pendant que le ransomware crypte les fichiers du PC infecté.
Jusqu'à présent, il semble que l'attaque ait été lancée par un pirate professionnel qui sait ce qu'il fait. Lorsque les experts ont disséqué le ransomware et vu comment cela fonctionne, ils ont cependant réalisé que l'attaquant n'était probablement pas si sophistiqué.
Le ransomware Unicorn n'est pas une menace sophistiquée
Les chercheurs soupçonnent que l'attaquant est italien. Il y a un manque évident d'erreurs grammaticales dans l'e-mail de phishing, et certains artefacts laissés dans le code suggèrent que la personne qui a écrit le logiciel malveillant s'appelle Leonardo.
Leonardo semble être un fan de la mythologie grecque. La note de rançon annonce que le serpent sur le bâton d'Asclepius est bouleversé et qu'une nouvelle ère est sur le point de s'ouvrir. Le cryptage des fichiers est comparé à l'incendie de Prométhée, et la victime est informée qu'en payant une rançon de 300 € (environ 330 $), elle a la possibilité de se racheter pour "des années de péchés et d'abus".
La note de rançon comprend une adresse bitcoin où l'argent devrait aller, et il y a aussi une adresse e-mail que les victimes doivent utiliser afin de contacter les pirates une fois la rançon payée. Une vérification rapide révèle que jusqu'à présent, l'adresse bitcoin incluse dans la note de rançon n'a enregistré aucune transaction, ce qui est tout aussi bien car l'adresse e-mail des pirates semble invalide. Il semble que Leonardo (ou quiconque est assis de l'autre côté du ransomware Unicorn) n'a absolument aucune intention de vous aider à récupérer vos fichiers.
Heureusement, vous n'avez pas vraiment besoin de leur aide. Une analyse du rançongiciel montre que le mot de passe utilisé pour déchiffrer les fichiers est envoyé en texte brut et peut être récupéré dans les journaux de communication.
Les failles du ransomware Unicorn compensent dans une certaine mesure les techniques ingénieuses d'ingénierie sociale et rendent l'attaque un peu moins dangereuse. La campagne ne doit cependant pas être sous-estimée. À tout moment, les attaquants peuvent passer à une souche de ransomware plus puissante et provoquer toutes sortes de problèmes.
