Une stratégie pénible est explorée par les pirates: tirer deux lapins avec une seule balle. Expliquons-nous: les spécialistes ont remarqué qu’un mail de spam peut propager pas une, mais plusieurs infections. Microsoft a révélé avoir découvert que le ransomware Locky e et le malware de fraude publicitaire Kovter collaborent de la pire façon possible: leur distribution a été combinée. Ce n’est pas le seul partenariat entre des infections de logiciels malveillants, et Locky semble être étroitement lié avec le crypto-virus Sage également. Ces deux géants ransomware sont comparables en raison de leur infrastructure similaire. L’activité de Locky elle-même a été remarqué en réduction significative ces derniers mois, mais peut-être tout simplement des pirates étaient occupés avec de nouvelles variantes et ont laissé Locky se distribuer comme une infection secondaire. Même si nous serions heureux de suggérer que Locky est parti et que vous devez oublier son nom, nous ne pouvons pas nous permettre de faire de telles déclarations.
En fait, Locky a été remarqué pour explorer une méthode surprenante pour la distribution. Les chercheurs de Microsoft ont découvert qu’une nouvelle campagne de spam choisit de distribuer Locky et Kovter en même temps. La campagne envoie un fichier .lnk qui peut rediriger les gens vers des domaines codés en dur qui sont identifiés comme étant les sources pour ces deux infections. La pièce jointe malveillante fonctionne en fait comme un raccourci vers un autre exécutable et dissimule un script d’alimentation Shell. Pour s’assurer que les gens exécutent la pièce jointe en annexe, le fichier .lnk va être inséré dans un fichier .zip qui devrait sembler beaucoup plus reconnaissable et fiable pour les utilisateurs d’Internet. En téléchargeant le fichier reçu, vous autorisez les scripts d’alimentation Shell à se mettre en mouvement. Etant donné que cette campagne de spam va opter pour distribuer Locky et Kovter comme une paire, vous serez vraisemblablement menacé par les deux en même temps. Comme vous le savez, Locky va crypter vos fichiers, et Kovter sera plus axé sur la fraude publicitaire.
Microsoft explique que les pirates contrôlent plus d’un site web qui devrait être responsable de la distribution de Locky et Kovter. Selon le rapport, cette technique est appelée l’obscurcissement. L’un des objectifs de l’obscurcissement peut être de cacher des codes malveillants. Dans ce cas, cette stratégie est exploitée pour éviter d’être black listé. Les chercheurs expliquent une autre caractéristique effrayante de cette campagne de spam malveillant, centré sur la distribution de Locky et Kovter. Dès que les échantillons de logiciels malveillants pénètrent dans un dispositif, ils sont automatiquement mis à jour avec leurs variantes actuelles.
En conclusion, ce procédé est indiqué comme très dangereux et il ne faut pas ouvrir des mails douteux qui arrivent dans votre boîte de réception. Si vous le faites, les logiciels malveillants auront un accès encore plus aisé à votre système.
Source: blogs.technet.microsoft.com.