Des hackers utilisent une fausse mise à jour de Windows 10 pour installer le ransomware Cyborg

Les utilisateurs de Windows, attention ! Un faux e-mail prétendant venir de Microsoft concernant une mise à jour de Windows est utilisé pour infecter les appareils avec un ransomware.

Des chercheurs en sécurité de SpiderLabs de Trustwave qui ont repéré la campagne d’e-mails malveillants ont découvert que les faux e-mails poussent les gens à installer une “mise à jour critique” de Windows 10 sur leurs ordinateurs.

L’objet de l’e-mail dit “Installez la dernière mise à jour Microsoft maintenant !” ou “Mise à jour critique de Microsoft Windows !” Le message dans l’e-mail ne contient qu’une seule ligne qui dit : “Veuillez installer la dernière mise à jour critique de Microsoft jointe à ce mail” et un fichier joint.

Fait intéressant, le fichier “mise à jour” joint est déguisé en fichier .jpg qui n’est pas une image mais en réalité un téléchargeur exécutable .NET. Cela a ensuite téléchargé un deuxième fichier exécutable hébergé sur le GitHub appartenant à Microsoft.

“Le fichier bitcoingenerator.exe sera téléchargé depuis misterbtc2020, un compte GitHub qui a été actif pendant quelques jours durant notre enquête, mais qui a maintenant été supprimé,” a déclaré Diana Lopera de Trustwave dans un article de blog.

“Il est contenu sous son dépôt btcgenerator. Tout comme la pièce jointe, il s’agit d’un malware compilé en .NET, le ransomware Cyborg.”

Le ransomware Cyborg, qui demande typiquement des bitcoins, crypte ensuite tous les fichiers sur la machine de la victime, verrouillant leur contenu et renommant également tous les fichiers avec une extension .777. De plus, une note de rançon intitulée “Cyborg_DECRYPT.txt” est placée sur le bureau de la victime demandant 500 $ en bitcoins pour déverrouiller les fichiers système.

Lorsque les chercheurs ont recherché le nom de fichier original du ransomware, ils l’ont obtenu et l’ont recherché dans VirusTotal. Ils ont trouvé trois autres échantillons et ont découvert qu’un constructeur pour le ransomware existe en ligne. De plus, ils ont découvert que le ransomware Cyborg est promu à travers une vidéo YouTube qui renvoie au constructeur hébergé sur GitHub.

“Le compte GitHub Cyborg-Ransomware a également été nouvellement créé. Il contient deux dépôts : Cyborg-Builder-Ransomware et Cyborg-Russian-version,” a écrit Lopera.

“Le premier dépôt contient les binaires du constructeur de ransomware tandis que le second contient un lien vers la version russe du constructeur hébergée sur un autre site web.”

Lopera a expliqué pourquoi le ransomware Cyborg représente un réel danger pour les entreprises et les particuliers en disant : “Le ransomware Cyborg peut être créé et diffusé par quiconque qui obtient le constructeur. Il peut être spammé en utilisant d’autres thèmes et être joint sous différentes formes pour éviter les passerelles de messagerie. Les attaquants peuvent concevoir ce ransomware pour utiliser une extension de fichier de ransomware connue afin de tromper l’utilisateur infecté sur l’identité de ce ransomware.”

Bien que le compte GitHub associé ait depuis été supprimé, il est important pour les utilisateurs de Windows de se rappeler que Microsoft ne pousse jamais de correctifs vers ses systèmes d’exploitation par e-mail.

De plus, il est recommandé que les utilisateurs qui reçoivent des e-mails similaires les suppriment immédiatement. Il est également conseillé de ne pas ouvrir les pièces jointes ou les liens d’e-mails provenant de sources inconnues ou non fiables.