lolloj - Fotolia
Un rançongiciel JavaScript : la promesse d’une menace multiplateformes
Développé à l’aide du framework NW.js, le logiciel malveillant Ransom32 pourrait être aisément porté au-delà de Windows.
Emsisoft a mis la main sur un logiciel malveillant pour le moins original : un rançongiciel largement développé en s’appuyant sur les technologies du Web. La promesse d’une portabilité aisée entre plateformes.
Dans un billet de blog, Fabian Wosar, directeur technique d’Emsisoft, décrit un malware proposé en mode service. Baptisé Ransom32, il s’appuie d’abord sur un lourd fichier – 22 Mo, bien plus que la normale pour des « rançongiciels qui ne dépassent eux que très rarement 1 Mo ». Ce fichier est en fait une archive auto-extractible qui cache, entre autres, une application packagée NW.js qui contient la charge utile.
Cette application se présente sous le nom de chrome.exe, de quoi ressembler au navigateur Web de Google. Mais la comparaison s’arrête là. Une fois exécuté, Ransom32 engage le chiffrement des fichiers personnels de l’utilisateur : photographies, bases de données, vidéos, musiques, fichiers bureautique, etc. Le tout avec l’algorithme AES et une clé sur 128 bits.
Comme l’explique Fabian Wosar, NW.js est un framework « qui permet de développer des applications courantes de bureau pour Windows, Linux et MacOS X à l’aide de JavaScript. Il se base sur projets populaires Node.js et Chromium ». Surtout, NW.js permet de contrôler et d’interagir largement « avec le système d’exploitation sous-jacent, permettant à JavaScript de faire quasiment les mêmes choses que les langages de programmation ‘normaux’ comme C++ ».
Une souplesse qui amène une conséquence : une portabilité remarquable. Ainsi, « pour les développeurs d’applications de bureau courantes, un des avantages est que NW.js est capable de fonctionner avec le même JavaScript sur différentes plateformes ».
Pour l’heure, Emsisoft indique ne pas avoir observé de paquets Ransom32 taillés pour Linux ou Mac OS X. Mais, « au moins en théorie, Ransom32 pourrait facilement être conditionné » pour ces deux plateformes.