Avec un clin d’œil et un sourire, le nouvel Avaddon Ransomware a pris vie dans une campagne de spam massive ciblant les utilisateurs du monde entier.

Avaddon a été lancé au début de ce mois et recrute activement des pirates et des distributeurs de logiciels malveillants pour diffuser le ransomware par tous les moyens possibles.

Comme sa première attaque connue, l’Avaddon Ransomware est distribué dans une campagne de spam rappelant la campagne Nemty Ransomware Love Letter de février.

Tu aimes ma photo?

Dans une vague de courriels utilisant des sujets comme « Votre nouvelle photo? » ou « Aimez-vous ma photo? » ne contenant rien d’autre qu’un sourire souriant, un téléchargeur JavaScript pour le rançongiciel Avaddon est en cours de distribution.

Exemple de courrier indésirable Avaddon
Exemple de courrier indésirable Avaddon

Dans un rapport connexe partagé avec BleepingComputer, la firme de cybersécurité Appriver a déclaré que le Phorphiex / Trik Botnet distribue les e-mails malveillants.

Cette campagne n’est pas petite, car le chercheur en sécurité d’AppRiver, David Picket, nous a dit qu’ils avaient bloqué plus de 300 000 e-mails en peu de temps.

Attaché à ces e-mails est un fichier JavaScript se faisant passer pour une photo JPG avec des noms comme IMG123101.jpg.

Avant de demander pourquoi quelqu’un ouvrirait un fichier JavaScript qui lui a été envoyé par courrier électronique, il est important de se rappeler que Windows cache l’extension de fichier par défaut, même s’il s’agit d’un risque de sécurité connu.

Cela signifie que pour le destinataire, il apparaîtra simplement sous la forme d’un fichier .jpg, comme indiqué ci-dessous.

Fichier JavaScript affiché en JPG
Fichier JavaScript affiché en JPG

Une fois exécutée, la pièce jointe JS lancera une commande PowerShell et Bitsadmin pour télécharger l’exécutable du rançongiciel Avaddon dans le dossier% Temp% et l’exécuter.

Avaddon JScript downloader
Avaddon JScript downloader

Dans l’exemple testé par BleepingComputer, une fois exécuté, le ransomware recherchera les données à crypter et ajoutera le .avdn extension aux fichiers cryptés.

Fichiers chiffrés par Avaddon
Fichiers chiffrés par Avaddon

Dans chaque dossier, une note de rançon nommée [id]-readme.html sera également créé. Cette note de rançon …

Voir la source de cette publication