Le premier ransomware en JavaScript débusqué

Jacques Cheminat,

Un chercheur a découvert un type de ransomware écrit en Javascript. Ransom32 a été codé à partir de la plateforme NW.js avec un chiffrement résistant.

La mutation est à l’œuvre sur le marché des rançongiciels, ces logiciels qui cadenassent les fichiers ou les PC et réclament de l’argent pour les débloquer. Traditionnellement écrit en C++, un chercheur de la firme Emsisoft a mis la main sur un ransomware écrit en JavaScript. Ce dernier baptisé Ransom32 est codé depuis le framework NW.js. Ce dernier était connu auparavant sous le nom Node-Webkit.

Cette plateforme facilite la création par les développeurs d’applications en JavaScript pour Windows, Linux et Mac OS X. Elle s’appuie sur les projets Node.js et Chromium. Pour autant, si le malware est disponible sur plusieurs OS, le blog d’Emsisoft constate que le ransomware ne fonctionne que sous Windows. Concrètement, NW.js utilise une version allégée de WebKit, le moteur de rendu utilisé dans Chrome, Safari et Opera, mais sans fixer de limitation. Les développeurs peuvent ainsi interagir directement avec le système d’exploitation.

Encore en rodage

Est-ce que les créateurs de Ransom32 n’ont pas eu le temps de peaufiner leurs solutions pour d’autres OS ? Possible, car les échantillons trouvés datent du 19 décembre. Une date qui fait penser à une phase de test ou de rodage. « La plupart des gens sont partis en vacance et le ransomware n’a pas montré sa plénitude, une période aussi propice pour se développer en passant sous les radars de détection des antivirus », explique Fabien Wosar d’Emsisoft à nos confrères de Softpedia. Il s’attend à ce que d’autres cybercriminels modifient et fassent évoluer le rançongiciel.

Un chiffrement de haut niveau

Le malware est distribué via des campagnes de spams (facture, bon de livraison, etc.). La charge utile du ransomware est une archive WinRAR comprenant plusieurs fichiers pour infecter l’ordinateur. Ransom32 est disponible sur le Dark Web en modèle à la demande (RaaS). L’apprenti pirate peut configurer le ransomware et le télécharger (22 Mo de fichiers), puis il lui suffit de donner une adresse Bitcoin pour que les sommes versées par les victimes lui parviennent. Les créateurs de Ransom32 prélèvent au passage une commission de 25%. Le chercheur en sécurité pointe aussi un haut degré de perfection en matière de chiffrement, au point que Ransom32 est selon lui actuellement indéchiffrable.

A lire aussi :

Les implants médicaux, prochaines cibles des ransomwares

Les ransomwares s’attaquent aux serveurs Linux