Les chercheurs de FortiGuard ont trouvé une variante du ransomware Chaos qui vise les joueurs et joueuses de Minecraft au Japon.
Ce ransomware est distribué via des fausses listes de comptes alt, qui cachent en réalité un fichier exécutable.
Un exécutable déguisé en fichier texte
Dans un article, les chercheurs de FortiGuard détaillent leur découverte d'une variante du ransomware Chaos, cachée dans des fichiers se faisant passer pour des listes de comptes alt pour Minecraft. Ces comptes sont souvent utilisés par les joueurs et joueuses pour effectuer des actions qui pourraient leur valoir un ban, comme utiliser des cheats, ou pour contourner un ban sur un serveur.
Les comptes dans ces listes sont généralement soit vendus volontairement par certains joueurs, soit compromis, et distribués par la suite sur des sites dédiés ou des forums. Dans le cadre de cette attaque, les chercheurs pensent que la fausse liste est diffusée sur des forums japonais consacrés à Minecraft. Le fichier est un exécutable mais utilise une icône de fichier texte afin de piéger les victimes, qui se retrouvent à installer le ransomware sur leur système en l'ouvrant.
Un wiper plus qu'un ransomware
Cependant, le ransomware utilisé étant une variante du ransomware Chaos, de base considéré comme un wiper, l'attaque est plus destructive qu'autre chose. Seuls les fichiers faisant moins de 2 Mo sont chiffrés mais des octets aléatoires sont ajoutés aux autres fichiers, ce qui les rend inutilisables et impossibles à récupérer. Il n'est pas encore clair si c'est un choix délibéré ou si les attaquants sont inexpérimentés et ont fait des erreurs dans leur code.
Côté rançon, les attaquants demandent l'équivalent de 17 $ en carte-cadeau ou en bitcoin, un montant extrêmement faible pour ce type d'attaque. Mais au vu de la destruction causée par le virus, payer est inutile et ne permettra pas de retrouver ses fichiers dans tous les cas. Le malware ne vérifie pas la langue du système sur lequel il se trouve, ce qui signifie que n'importe qui pourrait en être victime. Cependant, la demande de rançon n'existe qu'en japonais, ce qui laisse penser que les joueurs et joueuses japonais sous Windows sont explicitement visés par cette attaque.
Comme toujours, il est recommandé de faire preuve de la plus grande prudence lors du téléchargement et de l'ouverture de fichiers trouvés sur Internet et d'utiliser des outils comme VirusTotal pour les scanner au préalable.
Sources : BleepingComputer, Fortinet
Arrivée dans la rédaction par le jeu vidéo, c’est par passion pour le développement web que je me suis intéressée plus largement à tout ce qui gravite autour de notre consommation des outils numériques, des problématiques de vie privée au logiciel libre en passant par la sécurité. Fan inconditionnelle de science-fiction toujours prête à expliquer pendant des heures pourquoi Babylon 5 est ma série préférée.
Lire d'autres articles
