Le nouveau malware STRRAT, un cheval de Troie qui se déguise en ransomware, se propage via une campagne de phishing massive.
Il utilise des adresses mail compromises pour envoyer des spams contenant ce qui ressemble à un PDF, mais qui est en fait un fichier qui télécharge le malware.
Un virus qui se propage grâce à un faux PDF
Basé sur Java, ce virus se propage sur Windows par un mail prétendument à propos de paiements et contenant un fichier joint, qui se fait passer pour un PDF. Ce mail peut paraître légitime puisqu'il est envoyé à partir d'un véritable compte et non d'un compte spam créé pour l'occasion. Cependant, quand l'utilisateur ouvre la pièce jointe, le virus est téléchargé et infecte son ordinateur.
L'originalité de la méthode vient du fait que ce cheval de Troie se fait passer pour un ransomware, en ajoutant l'extension .crimson aux fichiers. Mais en réalité, rien n'est réellement chiffré et il suffit de supprimer l'extension pour retrouver ses documents. Cependant, la victime pense avoir affaire à un ransomware et peut même payer la rançon, alors que le virus s'installe sur sa machine en arrière-plan.
Une campagne d'hameçonnage toujours active
Une fois présent sur l'ordinateur de sa victime, STRRAT installe un keylogger pour récupérer des informations confidentielles, comme des identifiants de connexion, qui continuent potentiellement à alimenter sa campagne de phishing. Il installe également la bibliothèque open-source RDP Wrapper, qui lui fournit un accès à distance aux systèmes Windows compromis et lui permet d'exécuter des commandes.
Le virus est toujours actif et continue de s'améliorer, comme l'a découvert par Microsoft lors de son analyse de la campagne de phishing en cours. Pour s'en préserver, les bons réflexes restent les mêmes : faire attention à la provenance des mails que l'on reçoit, ne pas télécharger de pièces jointes si l'on n'est pas sûr de leur légitimité et avoir une protection activée sur son ordinateur.
Source : ZDNet