Posté le mars 29, 2022 à 7:23
DES HACKERS UTILISENT UNE NOUVELLE VARIANTE DU LOGICIEL MALVEILLANT FATALRAT POUR LANCER LEURS ATTAQUES
Le groupe Purple Fox a été découvert utilisant une version améliorée de son stock de logiciels malveillants à un cheval de Troie d’accès à distance connu sous le nom de FatalRAT. Le groupe de menaces a également amélioré ses stratégies d’évasion pour rester à l’abri des regards.
Les chercheurs de Trend Micro ont rapporté que le logiciel trojanisé est emballé comme un installateur d’application légale et déployé pour attaquer les systèmes des utilisateurs. Selon les chercheurs, l’installateur a été vu dans la nature, trompant les utilisateurs et élargissant son champ d’action.
Le cheval de Troie FatalRAT possède différentes fonctionnalités qui sont utilisées par un acteur de menaces à distance. Cependant, le logiciel malveillant est utilisé pour effectuer une série de tests avant d’être déployé sur un système. Parmi les tests effectués par le logiciel malveillant figurent la détermination de l’espace de stockage du système, la vérification du nombre de processeurs physiques et la présence de divers produits de machine virtuelle.
Le cheval de Troie exécute de multiples tâches
Les chercheurs de Trend Micro ont également découvert que le RAT remplit diverses autres fonctions. Il est utilisé pour charger et exécuter les modules auxiliaires après avoir vérifié les spécifications des systèmes des victimes. Les modules auxiliaires sont conçus pour fournir une assistance supplémentaire aux hackers.
Si le RAT identifie des clés de registre ou si des agents antivirus spécifiques sont en cours d’exécution, il peut apporter des modifications.
Outre un module rootkit, Purple Fox prend en charge cinq actions différentes. Celles-ci comprennent l’interception de cellules du système de fichiers pour échapper aux moteurs antivirus, la copie de fichiers et leur suppression du noyau.
La découverte des chercheurs de Trend Micro intervient quelques jours seulement après que les chercheurs de la société de cybersécurité Avast ont alerté le public sur une nouvelle campagne de logiciels malveillants dans laquelle le module de piratage Purple Fox était utilisé.
Les hackers mettent régulièrement à jour leurs outils avec de nouveaux logiciels
Selon le rapport, le logiciel malveillant a servi de support de distribution à un autre botnet appelé DirtyMoe.
Cependant, les opérateurs du botnet Purple Fox sont toujours actifs. Les chercheurs ont noté que les acteurs mettent constamment à jour leurs outils avec de nouveaux logiciels. Ils rendent également leurs variantes de logiciels malveillants plus puissantes, tant en termes d’attaque que de contournement des outils de sécurité.
Les acteurs de la menace ont également déployé beaucoup d’efforts pour élargir leur arsenal de boîtes à outils signées afin d’échapper aux pilotes de noyau signés personnalisés des antivirus pour cibler les techniques de détection.
« Les machines des utilisateurs sont ciblées par le biais de paquets de logiciels trojanisés se faisant passer pour des installateurs d’applications légitimes », selon les chercheurs de Trend Micro. Ce dernier développement intervient également après que des chercheurs de Minerva Labs ont révélé que certains groupes de menaces utilisent une méthode similaire pour utiliser des applications Telegram frauduleuses afin de distribuer des backdoors.
Ils ont également utilisé d’autres installateurs de logiciels déguisés, notamment Google Chrome, WhatsApp et Adobe Flash Player.
Les paquets sont utilisés comme chargeurs de première étape
Les chercheurs de Trend Micro ont également noté que les paquets sont utilisés comme chargeurs de première étape. Cette séquence d’infection cible conduit au déploiement de la charge utile de deuxième étape à partir du serveur C2. Il en résulte l’exécution d’un binaire qui présente des caractéristiques similaires à celles du cheval de Troie FatalRAT.
FatalRAT est un implant C++ récemment découvert, conçu pour exécuter des commandes et exfiltrer des informations vitales vers le serveur distant. Les auteurs de ce logiciel malveillant mettent constamment à jour le cheval de Troie avec de nouvelles fonctionnalités pour le rendre plus dangereux et plus puissant sur les cibles.
Le cheval de Troie FatalRAT a été découvert par AT&T Labs dans son système d’analyse des menaces en août de l’année dernière.
Le logiciel malveillant semble être distribué par le biais de canaux et de forums Telegram. Ils sont cachés dans des liens de téléchargement, les acteurs de la menace tentant de tromper les cibles à l’aide de supports médiatiques ou de logiciels.
Le cheval de Troie peut être encore amélioré par les acteurs de la menace
D’après les échantillons analysés du logiciel malveillant, celui-ci est capable d’effectuer plusieurs actions, notamment l’enregistrement des frappes de l’utilisateur, l’obtention de la persistance du système, l’exécution de techniques de contournement de protection, la collecte d’informations système et l’envoi des informations collectées aux serveurs de commande et de contrôle de l’acteur menaçant. Les chercheurs de Trend Micro ont également déclaré que le logiciel malveillant peut toujours être modifié par les acteurs de la menace pour un objectif de piratage différent.
L’une des raisons pour lesquelles ce cheval de Troie a été jugé très dangereux est la vitesse à laquelle il peut être mis à jour ou modifié pour atteindre un autre objectif d’attaque.
Les chercheurs ont donc publié des informations sur le logiciel malveillant et son modus operandi. Cela permettra aux particuliers et aux organisations de comprendre comment protéger au mieux leurs systèmes contre la menace de ce nouveau logiciel malveillant.
