Le ransomware DJVU « Xaro » se propage sous forme de logiciel piraté

« Bien que ce modèle d’attaque ne soit pas nouveau, des incidents impliquant une variante de DJVU qui ajoute l’extension .xaro aux fichiers affectés et demande une rançon en échange d’un décrypteur ont été observés, infectant des systèmes en même temps qu’un ensemble de chargeurs de marchandises et d’infostealers », a déclaré Ralph Villanueva, chercheur en sécurité chez Cybereason.

La nouvelle variante a reçu le nom de code Xaro de la part de l’entreprise américaine de cybersécurité.

DJVU, qui est en soi une variante du ransomware STOP, arrive généralement sur la scène en se faisant passer pour des services ou des applications légitimes. Il est également livré en tant que charge utile de SmokeLoader.

Un aspect important des attaques DJVU est le déploiement de logiciels malveillants supplémentaires, tels que des voleurs d’informations (par exemple, RedLine Stealer et Vidar), ce qui les rend plus préjudiciables par nature.

Dans la dernière chaîne d’attaques documentée par Cybereason, Xaro se propage sous la forme d’un fichier d’archive provenant d’une source douteuse qui se fait passer pour un site proposant des logiciels gratuits légitimes. L’ouverture du fichier d’archive entraîne l’exécution d’un supposé binaire d’installation pour un logiciel d’écriture de PDF appelé CutePDF qui, en réalité, est un service de téléchargement de logiciels malveillants payant par installation connu sous le nom de PrivateLoader.
PrivateLoader, pour sa part, établit un contact avec un serveur de commande et de contrôle (C2) pour récupérer un large éventail de familles de logiciels malveillants voleurs et chargeurs tels que RedLine Stealer, Vidar, Lumma Stealer, Amadey, SmokeLoader, Nymaim, GCleaner, XMRig et Fabookie, en plus de larguer Xaro.

« Cette approche du téléchargement et de l’exécution de logiciels malveillants de base est couramment observée dans les infections par PrivateLoader provenant de freeware suspects ou de sites de logiciels craqués », explique M. Villanueva.

L’objectif semble être de recueillir et d’exfiltrer des informations sensibles en vue d’une double extorsion et de garantir le succès de l’attaque même si l’une des charges utiles est bloquée par un logiciel de sécurité.

Xaro, en plus d’engendrer une instance de Vidar infostealer, est capable de chiffrer des fichiers dans l’hôte infecté avant de déposer une note de rançon exhortant la victime à contacter l’acteur de la menace pour payer 980 $ pour la clé privée et l’outil de décryptage, un prix qui baisse de 50 % à 490 $ si l’on s’adresse à lui dans un délai de 72 heures.

Le mois dernier, Sucuri a décrit une autre campagne appelée FakeUpdateRU dans laquelle les visiteurs de sites Web compromis reçoivent de fausses notifications de mise à jour du navigateur afin de diffuser RedLine Stealer.

« Les acteurs de la menace sont connus pour favoriser les freewares se faisant passer pour des moyens de déployer secrètement des codes malveillants « , a déclaré Villanueva. La vitesse et l’ampleur de l’impact sur les machines infectées doivent être soigneusement comprises par les réseaux d’entreprise qui cherchent à se défendre et à défendre leurs données « .