[INFO] L'ANSSI détecte un malware destructeur en cours d'action

Le CERT-XMCO vous partage une information ayant fait l’actualité durant la semaine écoulée. Nous vous proposons de revenir sur la découverte d’un nouveau malware visant les systèmes Windows.

Description

L’agence nationale de sécurité des systèmes d’information (ANSSI) a informé l’une de ses communautés (dont le CERT-XMCO fait parti) avoir identifié l’existence d’un malware ayant affecté de multiples organismes ces derniers mois.
Il s’agit d’un logiciel malveillant destructeur au format JSE (JScript) qui, lors de son exécution, effectue les actions suivantes sur le poste de l’utilisateur victime :

– il inspecte la liste des processus en cours d’exécution et s’arrête s’il détecte certains logiciels antivirus ou outils d’analyse forensique ;
– il se copie dans le dossier de démarrage afin d’assurer sa persistance ;
– il contacte son serveur de commande et de contrôle (C&C) via l’envoi d’une requête HTTP POST à travers une connexion SSL à l’adresse suivante : hxxps://185.159.82.54.__bad__:7500/XX/lafamilia.php ;
Cette connexion est utilisée pour fournir des informations sur le système compromis telles que la version du système d’exploitation et également pour procéder à la mise à jour du malware ou recevoir un nouveau binaire à écrire sur le disque.

– La charge utile procède à l’énumération des documents présents sur les disques réseaux et les médias amovibles, les efface et les remplace par une copie du script JSE.
Les fichiers qui comportent les extensions suivantes sont ciblés : .doc, .xls, .pdf, .rtf, .txt, .pub, .odt, .ods, .odp, .odm, .odc, .odb, .wps, .xlk, .ppt, .mdb, .accdb, .pst, .dwg, .dxf, .dxg et .wpd.
– Enfin, il efface ses traces en supprimant les fichiers du répertoire %TEMP% qui comportent les extensions suivantes : .exe, .gop, .txt, .log et .jse.

Le phishing via e-mail est utilisé comme vecteur d’infection. L’utilisateur cible reçoit un e-mail contenant une pièce jointe ayant une extension .rar. En réalité, il s’agit d’une archive de type ACE contenant un unique fichier au format JSE.
Sous Windows, les fichiers au format JSE sont exécutés par défaut par le composant Wscript.exe.
A première vue, les attaques détectées ne sont pas ciblées. Aucune compromission en masse n’a été réalisée, mais l’ANSSI reste attentive à une éventuelle propagation d’envergure.

Il est conseillé de suivre les actions préventives suivantes pour lutter contre la menace :

– ne plus associer les fichiers d’extension « jse » à Wscript.exe par défaut (utiliser notepad.exe par exemple) ;
– filtrer les fichiers ACE avec une extension rar en pièce jointe de courriel ;
– effectuer des sauvegardes régulières de vos données, stocker ces sauvegardes sur des supports déconnectés du reste du réseau ;
– avoir un anti-virus à jour sur toutes les machines du réseau.

Il est également possible de superviser les communications vers 185.159.82.54.__bad__ pour détecter une compromission.

En cas de compromission, les actions réactives suivantes sont recommandées :

– isoler la machine infectée du reste du réseau ;
– procéder à une analyse forensique du disque dur du poste infecté (en vouant une attention particulière aux fichiers effacés dans %TEMP%) ;
– inspecter et nettoyer les partages réseau auxquels cette machine a eu accès ;
– inspecter et nettoyer les médias amovibles qui ont été connectés à cette machine ;
– formater la machine si l’analyse forensique n’a pas apporté plus d’éléments.