Scorpion dit : « Viens ici! » Méfiez-vous des e-mails de l’échange de crypto CoinPayments. Les pirates lancent une nouvelle campagne de ransomware « Mortal Kombat ». Les attaquants déguisent la pièce jointe de l’e-mail de phishing pour qu’elle ressemble à des transactions de paiement. Cependant, lorsqu’elle est ouverte, la charge utile télécharge automatiquement soit un rançongiciel, soit un écumeur de portefeuille cryptographique. C’est donc un peu comme un uppercut une-deux. GRILLÉ !
Les chercheurs en sécurité de l’équipe de cybersécurité Talos de Cisco ont suivi une nouvelle campagne de ransomware qui utilise des images de Mortal Kombat dans ses notes de rançon. Les attaques ont commencé à apparaître en décembre et ciblent sans distinction les particuliers, les petites entreprises et les grandes entreprises.
Une fois infecté, l’ordinateur affecté affiche un fond d’écran Mortal Kombat 11 attaché à une note demandant à la victime de contacter les attaquants via une application de messagerie instantanée appelée qTox que n’importe qui peut télécharger de GitHub. Les attaquants vont alors négocier un prix à payer en Bitcoin.
Le vecteur d’attaque est constitué d’e-mails de phishing conçus pour donner l’impression qu’ils proviennent de la plateforme de crypto-trading CoinPayments. Les e-mails affirment que le paiement de l’utilisateur a « expiré ». Une pièce jointe contient la charge utile dans un fichier compressé avec un nom qui ressemble à un numéro de transaction CoinPayments. Une fois ouvert, il télécharge le rançongiciel Mortal Kombat.
Le ransomware cryptera tous les fichiers sur le PC de la victime, y compris ceux de la corbeille et les fichiers de la machine virtuelle. Il corrompt également l’Explorateur Windows, supprime les dossiers et les fichiers du menu de démarrage et désactive la commande Exécuter. Cependant, il n’affiche aucune capacité d’effacement ni n’efface les clichés instantanés de volume sur l’ordinateur.
Talos note que la pièce jointe à l’e-mail peut également télécharger Laplas Clipper. Ce malware surveille le presse-papiers de l’ordinateur pour les adresses de portefeuille de crypto-monnaie. S’il en trouve une, il l’envoie au serveur de l’attaquant, où un « bot Clipper » crée une adresse « ressemblante » appartenant au pirate puis remplace l’entrée du presse-papiers. Les utilisateurs transfèrent alors sans le savoir des fonds dans le portefeuille du pirate au lieu du leur.
Talos dit que bien que le rançongiciel Mortal Kombat soit nouveau, il semble être une variante Xoriste. Xorist remonte au moins à 2010. Les chercheurs ont suivi les attaques, et la plupart semblent confinées aux États-Unis, avec une légère dispersion des victimes en Angleterre, en Turquie et aux Philippines.
Comme toujours, la meilleure atténuation des attaques de ransomware est de rester vigilant et méfiant vis-à-vis des e-mails aléatoires provenant des services que vous utilisez. Méfiez-vous des pièces jointes ou des demandes d’informations d’identification. Les entreprises envoient rarement des fichiers clients ou demandent des noms d’utilisateur ou des mots de passe.
