Des cybercriminels sont en train d’infecter des ordinateurs avec un nouveau ransomware appelé RAA, entièrement écrit en JavaScript. Il bloque les fichiers des utilisateurs au moyen d’un chiffrement fort. La plupart des malware pour Windows sont écrits dans des langages compilés comme C ou C++. Ils prennent la forme de fichiers portables exécutables portant des extensions .exe ou .dll. D’autres passent par un script de lignes de commande comme Windows batch ou PowerShell. Il est rare de voir, du côté client, des malwares écrits dans des langages basés sur le web comme JavaScript, ce dernier étant essentiellement destiné à être interprété par des navigateurs. Pourtant, le service Script Host bâti dans Windows peut exécuter nativement des fichiers .js ainsi que d’autres fichiers de script.
Les attaquants se sont récemment servis de cette technique et en avril dernier, Microsoft a même averti d’une recrudescence de pièces jointes malveillantes contenant des fichiers JavaScript. Le mois dernier, des chercheurs en sécurité d’Eset ont mis en garde contre une vague de spams qui distribuait le ransomware Locky à travers des pièces jointes avec extension .JS. Dans ces deux cas, les fichiers JavaScript étaient utilisés en tant que chargeurs de malwares. Il s’agit de scripts conçus pour télécharger et installer un malware classique. Alors que dans le cas de RAA, l’ensemble du malware est écrit en JavaScript.
RAA s'appuie sur la bibliothèque CryptoJS
Selon des experts du forum de support technique BleepingComputer, RAA s’appuie sur CryptoJS, une bibliothèque JavaScript légitime, pour mettre en oeuvre la routine de chiffrement. L’exécution du processus apparaît solide, utilisant l’algorithme de chiffrement AES-256. Une fois qu’il a chiffré un fichier, RAA ajoute une extension .locked au nom d’origine. Le ransomware cible les fichiers de types .doc, .xls, .rtf, .pdf, .dbf, .jpg, .dwg, .cdr, .psd, .cd, .mdb, .png, .lcd, .zip, .rar and .csv. « Pour l’instant, il n’y a aucun moyen de déchiffrer gratuitement les fichiers », constate dans un billet Lawrence Abrams, fondateur de BleepingComputer.com.
Les infections perpétrées par RAA qui ont été signalées jusqu’à présent par des utilisateurs font apparaître une demande de rançon en russe. Mais même si la menace vise uniquement des cibles parlant russes jusqu’à présent, ce n’est qu’une question de temps avant que RAA soit distribué plus largement et que la demande soit traduite dans d’autres langues.
Il est très inhabituel d’envoyer des applications légitimes écrites en JavaScript par e-mail. Il faut donc que les utilisateurs s’en méfient et n’ouvrent pas ce type de fichiers, même s’il se trouve dans une archive .zip. Il y a peu de raisons valables de trouver des fichiers .js en dehors des sites web et des navigateurs web.