Le cheval de Troie CetaRAT utilise l'activation retardée pour échapper à la sécurité
Le CetaRAT est un cheval de Troie d'accès à distance (RAT) dont le développement et l'utilisation sont attribués à un groupe inconnu Advanced Persistent Threat (APT). Cependant, il est possible que les criminels derrière cela partagent des outils avec d'autres groupes, puisque le CetaRAT était auparavant impliqué dans une campagne menée par l'Opération SideCopy APT.
Les infections CetaRAT se produisent généralement par le biais d'e-mails de harponnage contenant une pièce jointe dangereuse. Bien entendu, le fichier est déguisé en document, facture ou archive inoffensif que la victime ne jugera pas suspecte. S'ils ouvrent le fichier malveillant, ils peuvent être invités à lui accorder certaines autorisations qui conduiront à l'exécution d'un script de macro et à la livraison de la charge utile CetaRAT.
Les messages de phishing liés à la politique diffusent le CetaRAT
Les messages d'hameçonnage livrant le CetaRAT se concentrent généralement sur des sujets liés à la politique dans la région de la victime - par exemple les relations Inde-Chine, ou la documentation du ministère des Affaires étrangères. La façon dont le CetaRAT fonctionne sur les machines infectées est également très intrigante. Au lieu d'initialiser immédiatement le module malveillant, la menace déposera ses fichiers dans le répertoire de démarrage , puis lancera un script pour ordonner à la machine de redémarrer après un certain temps. Cette exécution retardée peut permettre au CetaRAT d'éviter certaines fonctionnalités de sécurité.
L'objectif principal de ce cheval de Troie d'accès à distance est d'exfiltrer les données de la machine de la victime et de les transférer vers le serveur des attaquants. Les criminels sont également capables d'exécuter une longue liste de commandes à distance :
- Téléchargez et exécutez un fichier.
- Gérer le système de fichiers.
- Renommer les fichiers.
- Exécuter des commandes à distance.
- Prenez des captures d'écran.
- Gérer les processus en cours.
Les victimes dans les régions touchées par l'attaque CetaRAT peuvent renforcer leur sécurité en restant vigilantes face aux e-mails suspects qui les incitent à consulter une pièce jointe. En plus de cela, l'utilisation d'une solution antivirus à jour est le meilleur moyen de dissuader les attaques de logiciels malveillants.