La nouvelle version de ce ransomware méconnu, mais l’un des plus populaires chez les hackers, éveille les inquiétudes des spécialistes. Cette mise à jour le fait passer sous les radar des antivirus.
Vous ne le connaissez probablement pas, pourtant, il existe depuis 2018. Il s’agit du ransomware favori des hackers qui n’a finalement que très peu évolué depuis sa création. Il s’appelle STOP et tout récemment, sa mise à jour a alerté des chercheurs de Sonic Wall, une société américaine de cybersécurité.
En effet, la dernière version découverte déploie le ransomware en plusieurs étapes, ce qui le rend indétectable aux antivirus. Bien que STOP ne vole pas de données personnelles et que les montants des rançons soient plutôt faibles, il inquiète surtout par le nombre de victimes important qu’il peut engendrer.
Initialement, le ransomware commence son infiltration en chargeant un fichier DLL apparemment anodin, comme le msim32.dll, sans doute dans le but de détourner l’attention. Il lance en parallèle des boucles de temporisation prolongées, pour passer au travers des mesures de sécurité basées sur le temps, compliquant ainsi la détection du logiciel malveillant.
Ensuite, il déploie des appels API pour allouer l’espace mémoire nécessaire avec des autorisations de lecture/écriture et d’exécution. Cette approche rend encore plus difficile la détection de l’activité malveillante, car elle évite les schémas d’allocation de mémoire plus prévisibles.
L’étape suivante consiste à creuser les processus légitimes, en détournant leur fonctionnement normal pour injecter sa propre charge utile en mémoire. Cette manipulation subtile est réalisée à travers une série d’appels API orchestrés avec soin, permettant une exécution discrète et efficace en mémoire.