Les acteurs de la menace derrière le ransomware Exorcist 2.0 utilisent des publicités malveillantes pour rediriger les victimes vers de faux sites de crack de logiciels qui distribuent leurs malwares.
Selon un chercheur en sécurité Nao_Sec, PopCash malvertising redirige les utilisateurs de sites légitimes vers un faux site de crack logiciel.
Ce site de crack, illustré ci-dessous, prétend offrir des liens de téléchargement pour les programmes qui enfreignent la protection des droits d’auteur sur les logiciels commerciaux afin qu’ils puissent être utilisés gratuitement.
Par exemple, dans l’image ci-dessous, le site prétend proposer un ‘Windows 10 Activator 2020’ qui vous permettra d’activer Windows 10 gratuitement.
L’archive téléchargée contient un autre fichier zip protégé par mot de passe et un fichier texte contenant le mot de passe de l’archive.
En protégeant l’archive par mot de passe, il permet au téléchargement de se produire sans être détecté par Google Safe Browsing, Microsoft SmartScreen ou le logiciel de sécurité installé.
Si le programme d’installation est exécuté, les utilisateurs constateront que leurs fichiers sont cryptés au lieu d’installer l’activateur Windows 10 gratuit, comme indiqué ci-dessous.
Les dossiers cryptés incluront des notes de rançon contenant des liens uniques vers un site de paiement Tor où une victime peut obtenir des informations sur la façon de payer une rançon.
Lors de la visite du site de paiement Excorcist Tor, les victimes peuvent obtenir le décryptage gratuit d’un fichier, un moyen de discuter avec les acteurs de la menace et le montant de la rançon qu’ils doivent payer.
D’après les notes de rançon Excorcist vues par BleepingComputer, nous avons vu des demandes de rançon aussi basses que 250 $ à 10 000 $. Nous sommes convaincus que les demandes sont beaucoup plus élevées, selon le nombre de fichiers cryptés ou d’autres critères.
L’utilisation de fausses fissures logicielles pour distribuer le malware est la même tactique utilisée par les acteurs de STOP Ransomware, ce qui a conduit STOP à être le ransomware actuellement actif le plus répandu.
Si Exorcist 2.0 continue d’utiliser de fausses fissures logicielles comme méthode de distribution, nous pouvons nous attendre à une augmentation similaire du nombre de victimes.