Les e-mails de phishing envoient un ransomware MirCop effrayant sur le thème des zombies

zombies

Une nouvelle campagne de phishing se faisant passer pour des listes d’approvisionnement infecte les utilisateurs avec le ransomware MirCop qui crypte un système cible en moins de quinze minutes.

Les acteurs commencent l’attaque en envoyant un e-mail non sollicité à la victime, soi-disant suite à un arrangement antérieur concernant une commande.

Le corps de l’e-mail contient un lien hypertexte vers une URL Google Drive qui, si vous cliquez dessus, télécharge un fichier MHT (archive de page Web) sur la machine de la victime.

Google Drive sert à introduire la légitimité de l’e-mail et s’aligne très bien avec les pratiques commerciales courantes.

Pour les acteurs de la menace, des choix simples mais essentiels comme celui-ci peuvent faire la distinction entre la victime cliquant sur l’URL ou envoyant l’e-mail dans le dossier spam.

Ceux qui ouvrent le dossier ne voient qu’une image floue de ce qui est censé être une liste de fournisseurs, tamponnée et signée pour une touche supplémentaire de légitimité.

Image floue de la liste des fournisseurs
Image floue de la liste des fournisseurs

Lorsque le fichier MHT est ouvert, il téléchargera une archive RAR contenant un téléchargeur de logiciels malveillants .NET à partir de « hXXps://a[.]pomf[.]chat/gectpe.rar”.

L’archive RAR contient un fichier EXE, qui utilise des scripts VBS pour déposer et exécuter la charge utile MirCop sur le système infecté.

Le ransomware s’active immédiatement et commence à prendre des captures d’écran, verrouille les fichiers, change l’arrière-plan en une horrible image sur le thème des zombies et offre aux victimes des instructions sur la marche à suivre.

Fond d'image gore avec des instructions
Fond d’image gore avec des instructions
Source : Cofense

Selon Cofense, tout ce processus prend moins de 15 minutes à partir du moment où la victime ouvre l’e-mail de phishing.

Après cela, l’utilisateur est uniquement autorisé à ouvrir des navigateurs Web spécifiques pour communiquer avec les acteurs et organiser le paiement de la rançon.

Les acteurs ne sont pas intéressés à se faufiler furtivement dans la machine de la victime ou à y rester longtemps pour faire du cyber-espionnage ou voler des fichiers pour extorsion.

Au contraire, l’attaque se déroule rapidement, et la source du trouble devient rapidement évidente pour la victime

Une souche ancienne mais toujours dangereuse

MicroCop est une ancienne souche de ransomware qui livrait des demandes de rançon absurdes à ses victimes.

C’était jusqu’à ce que Michael Gillespie déchiffre son cryptage et publie gratuitement un décrypteur fonctionnel.

Nous n’avons pas pu tester si cet ancien décrypteur fonctionne avec les charges utiles supprimées dans la campagne la plus récente, mais il est possible qu’il puisse toujours déverrouiller les fichiers.

Cofense dit que la même variante est en circulation depuis juin de cette année, donc MicroCop est toujours là, et les gens doivent être prudents avec le traitement des e-mails non sollicités.