Un nouveau logiciel de rançon attire les victimes en prétendant être une application de traçage COVID-19 du gouvernement canadien

Un nouveau logiciel de rançon attire les victimes en prétendant être une application de traçage COVID-19 du gouvernement canadien

By Harshini Nag - Minute de lecture
Mis à jour 01 August 2022
Ransomware

Les sites web frauduleux cryptent les données des appareils androïdes des victimes, a révélé l’ESET 

Un nouveau logiciel de rançon (ransomware) appelé CryCryptor cible les utilisateurs d’Android au Canada sous le prétexte d’être une application officielle de traçage COVID-19 – selon une recherche publiée par ESET mercredi.

Le logiciel, distribué via deux sites web frauduleux soutenus par le gouvernement, crypte les données personnelles des victimes à partir de leurs appareils. Les chercheurs de l’ESET ont analysé le logiciel de rançon et ont développé un outil de décryptage pour les victimes. La société de cybersécurité a également informé le Centre canadien de cybersécurité de la découverte et de l’identification du ransomware.

Selon l’ESET, les sites web frauduleux prétendaient être une initiative de Santé Canada visant à faciliter la recherche des contacts une fois qu’un patient a été déclaré positif au test COVID-19. Il est intéressant de noter que les sites web sont apparus quelques jours après l’annonce officielle du gouvernement canadien de soutenir le développement d’une application nationale de recherche de contacts appelée COVID Alert.

L’application doit être déployée pour être testée en Ontario et n’a pas encore été officiellement lancée. Les escrocs ont profité de l’annonce des autorités canadiennes pour faire croire aux victimes l’authenticité du site web.

Les pirates travaillent à crypter les fichiers sur l’appareil de la victime et au lieu de verrouiller l’appareil, il laisse un fichier « readme » avec l’e-mail de l’attaquant dans chaque répertoire avec des fichiers cryptés, a rapporté ESET. Les fichiers sont cryptés par AES avec une clé à 16 chiffres générée de manière aléatoire. Une fois que le CryCryptor a crypté un fichier, il supprime le fichier original et le remplace par trois nouveaux fichiers. Ces derniers affichent une notification « Fichiers personnels cryptés, voir readme_now.txt ».

Le réseau de rançon a attiré l’attention des chercheurs de l’ESET lorsqu’un tweet identifiant un « malware » sur le site web supposé officiel a été émis par un utilisateur. La société de cybersécurité a alors analysé l’application et a découvert un « bug du type ‘Improper Export of Android Components’ que MITRE appelle CWE-926 », selon l’annonce officielle. Ce bogue a permis aux chercheurs de l’ESET de développer une application qui lance la fonctionnalité de décryptage intégrée dans l’application de rançon par ses créateurs.

Le ransomware CryCryptor est basé sur un code open-source disponible sur GitHub. Les chercheurs de l’ESET ont déclaré que les développeurs du ransomware open-source, qui l’ont nommé CryDroid, étaient conscients qu’il était utilisé à des fins malveillantes et ont faussement essayé de le déguiser en projet de recherche.

« Nous rejetons l’affirmation selon laquelle le projet a des objectifs de recherche – aucun chercheur responsable ne publierait un outil facile à utiliser à des fins malveillantes », a déclaré l’annonce. « Nous avons informé GitHub de la nature de ce code », a-t-il ajouté.