Un rançongiciel Java multiplateforme récemment découvert utilise un fichier image Java (JIMAGE) pour échapper à la détection, rapportent des chercheurs en sécurité de BlackBerry.

Doublé Magnat, le ransomware ne semble être utilisé que dans des attaques très ciblées, compte tenu du faible nombre de victimes et du mécanisme de livraison utilisé.

Les opérateurs du ransomware ont ciblé les petites et moyennes entreprises et institutions des secteurs de l’éducation et des logiciels, selon les chercheurs. Dans un cas, ils ont d’abord compromis un serveur de saut de protocole de bureau à distance accessible sur Internet et l’ont utilisé pour d’autres compromis.

L’enquête sur l’incident a révélé que les attaquants ont utilisé l’injection IFEO (Image File Execution Options) pour la persistance, qu’ils ont exécuté une porte dérobée à côté de la fonctionnalité OSK (Microsoft Windows On-Screen Keyboard) du système d’exploitation, qu’ils ont procédé à la désactivation de l’anti -malware et que la plupart de leurs fichiers étaient horodatés.

Après avoir pris pied sur l’environnement, les attaquants ont exécuté le module de rançongiciel Java, qui a chiffré tous les serveurs de fichiers connectés au réseau, y compris les systèmes de sauvegarde.

Le ransomware est déployé en tant qu’archive ZIP contenant une génération JRE (Java Runtime Environment) trojanisée et est compilé dans un fichier image Java (JIMAGE). Ce format de fichier est utilisé pour stocker des images JRE personnalisées et est utilisé par la machine virtuelle Java (JVM) lors de l’exécution.

Introduit pour la première fois dans Java version 9, le format de fichier est peu documenté et est rarement utilisé par les développeurs, explique BlackBerry.

Les chercheurs en sécurité ont également découvert que le malware était conçu pour cibler à la fois les systèmes Windows et Linux.

La configuration du ransomware comprend l’adresse e-mail de l’attaquant, la clé publique RSA, le contenu de la note de rançon, une liste d’exclusions et une liste de commandes shell à exécuter. Une fois exécuté, le malware exécute un ensemble de commandes shell spécifiées dans le …