Twitter
Twitter
Facebook
Kaspersky Partner
Twitter
Facebook
Kaspersky Partner

Virus

Présentation d’un mode opératoire du rançongiciel new zeppelin


mercredi 22 septembre 2021

New Zeppelin est une version améliorée du rançongiciel Zeppelin, lui aussi étant une version améliorée de VegaLocker/Buran (découvert en 2019). Identifiée en 2020 par Juniper ThreatLab, cette nouvelle version de Zeppelin utilise un cheval de Troie écrit en Visual Basic, script dissimulé dans des caractères illisibles. Ce rançongiciel est mis à disposition des attaquants avec des mécanismes de personnalisation, rendant donc ce nouveau Zeppelin « poly-artisanal ».  Le descriptif présenté ici est celui de l’attaque étudiée par le laboratoire Juniper.

New Zeppelin se différencie de son prédécesseur via une technique d’activation du cheval de Troie difficilement détectable par l’antivirus (par la dissimulation du code fragmenté dans le texte de confusion). Le déclenchement discret du cheval de Troie se fait via l’activation de la Macro VBA dans Microsoft Word : la menace se présente comme « innocente » au travers d’une fausse image au contenu pseudo-médical, cachant un texte illisible où y est fragmenté le code d’exécution. Lorsque la Macro VBA est activée par l’utilisateur, les fragments de codes VBs eparpillés dans le texte illisible sont rassemblés en un unique script puis enregistrée sous c:\wordpress\about1.vbs
…/…

Lire l’intégralité de l’article sur


Kaspersky :

  • Trojan-Ransom.Win32.Vega
  • Trojan-Ransom.Win32.Gen
  • PDM:Trojan.Win32.Generic

Présentation d’un mode opératoire du rançongiciel new zeppelin

New Zeppelin est une version améliorée du rançongiciel Zeppelin, lui aussi étant une version améliorée de VegaLocker/Buran (découvert en 2019). Identifiée en 2020 par Juniper ThreatLab, cette nouvelle version de Zeppelin utilise un cheval de Troie écrit en Visual Basic, script dissimulé dans des caractères illisibles. Ce rançongiciel est mis à disposition des attaquants avec des mécanismes de personnalisation, rendant donc ce nouveau Zeppelin « poly-artisanal ».  Le descriptif présenté ici est celui de l’attaque étudiée par le laboratoire Juniper.

New Zeppelin se différencie de son prédécesseur via une technique d’activation du cheval de Troie difficilement détectable par l’antivirus (par la dissimulation du code fragmenté dans le texte de confusion). Le déclenchement discret du cheval de Troie se fait via l’activation de la Macro VBA dans Microsoft Word : la menace se présente comme « innocente » au travers d’une fausse image au contenu pseudo-médical, cachant un texte illisible où y est fragmenté le code d’exécution. Lorsque la Macro VBA est activée par l’utilisateur, les fragments de codes VBs eparpillés dans le texte illisible sont rassemblés en un unique script puis enregistrée sous c:\wordpress\about1.vbs
…/…

Lire l’intégralité de l’article sur


Kaspersky :

  • Trojan-Ransom.Win32.Vega
  • Trojan-Ransom.Win32.Gen
  • PDM:Trojan.Win32.Generic

Présentation d’un mode opératoire du rançongiciel new zeppelin

New Zeppelin est une version améliorée du rançongiciel Zeppelin, lui aussi étant une version améliorée de VegaLocker/Buran (découvert en 2019). Identifiée en 2020 par Juniper ThreatLab, cette nouvelle version de Zeppelin utilise un cheval de Troie écrit en Visual Basic, script dissimulé dans des caractères illisibles. Ce rançongiciel est mis à disposition des attaquants avec des mécanismes de personnalisation, rendant donc ce nouveau Zeppelin « poly-artisanal ».  Le descriptif présenté ici est celui de l’attaque étudiée par le laboratoire Juniper.

New Zeppelin se différencie de son prédécesseur via une technique d’activation du cheval de Troie difficilement détectable par l’antivirus (par la dissimulation du code fragmenté dans le texte de confusion). Le déclenchement discret du cheval de Troie se fait via l’activation de la Macro VBA dans Microsoft Word : la menace se présente comme « innocente » au travers d’une fausse image au contenu pseudo-médical, cachant un texte illisible où y est fragmenté le code d’exécution. Lorsque la Macro VBA est activée par l’utilisateur, les fragments de codes VBs eparpillés dans le texte illisible sont rassemblés en un unique script puis enregistrée sous c:\wordpress\about1.vbs
…/…

Lire l’intégralité de l’article sur


Kaspersky :

  • Trojan-Ransom.Win32.Vega
  • Trojan-Ransom.Win32.Gen
  • PDM:Trojan.Win32.Generic
%d blogueurs aiment cette page :