Les analystes de programmes malveillants ont trouvé plusieurs exemples d’une nouvelle boîte à outils malveillants qui peut collecter des fichiers sensibles à partir de systèmes isolés d’Internet. Ils l’appellent Ramsay et il y a peu de victimes connues à ce jour.

Ramsay n’a pas été rendu public jusqu’à aujourd’hui. Il atterrit sur un ordinateur victime via un fichier RTF malveillant et analyse les lecteurs amovibles et les partages réseau pour les documents Word, les fichiers PDF et les archives ZIP.

Trois variantes trouvées

Des chercheurs de la société de cybersécurité ESET ont trouvé un échantillon Ramsay sur la plate-forme d’analyse VirusTotal, téléchargé depuis le Japon.

Il existe cependant au moins trois variantes de ce logiciel malveillant: v1, v2.a et v2.b. Basé sur les horodatages de la compilation, Ramsay v1 est le plus ancien, de septembre 2019, et est également le moins complexe.

Les deux autres échantillons (v2.a et v2.b) sont plus élaborés et semblent avoir été compilés les 8 et 27 mars, respectivement. Les deux sont livrés avec un composant rootkit mais seulement 2.a a également des capacités de diffusion.

Le chercheur sur les logiciels malveillants d’ESET, Ignacio Sanmillan, a déclaré qu’il existe suffisamment de preuves indiquant que le cadre Ramsay est toujours en cours de développement et que les vecteurs de livraison doivent encore être affinés.

Dans une analyse technique publiée aujourd’hui, le chercheur note que les versions moins complexes du malware sont abandonnées par des documents malveillants exploitant CVE-2017-0199 et CVE-2017-11882, deux vulnérabilités qui permettent d’exécuter du code arbitraire.

Dans un autre vecteur d’attaque livrant le Ramsay v2.a plus raffiné, le malware se présente comme un programme d’installation de l’outil de compression de fichiers 7-zip.

Infos WEB:  Iron Ox lève 20 millions de dollars pour ses fermes robotiques - infos

L’épandeur …

Voir la source de cette publication