Logiciel malveillant VileRAT utilisé pour cibler les sociétés de trading de crypto

VileRAT est le nom d'un logiciel malveillant multifonctionnel qui a été utilisé pour cibler un certain nombre d'entités situées dans des pays d'Europe et du Moyen-Orient au cours des 12 derniers mois.

VileRAT était responsable d'attaques principalement contre des entités et des organisations de trading de devises et de crypto-monnaie. Le malware est lié à l'acteur menaçant connu sous le pseudonyme de DeathStalker.

VileRAT utilise une chaîne d'infection qui commence généralement par un fichier Office malveillant. L'infection repose sur l'injection de macros malveillantes injectées à partir d'un modèle DOTM distant.

La prochaine étape de la chaîne implique le composant VileDropper du logiciel malveillant, qui s'appuie sur le code JavaScript obscurci utilisé pour fournir le module VileLoader. En fin de compte, VileLoader est responsable du téléchargement et de l'exécution de la charge utile VileRAT finale.

VileRAT lui-même dispose d'une boîte à outils très polyvalente. Il peut exécuter des commandes arbitraires, enregistrer les frappes au clavier, établir la persistance via des tâches planifiées, répertorier les logiciels anti-malware installés sur le système victime et se mettre à jour à partir de ses serveurs de commande et de contrôle, ainsi que supprimer des fichiers.

VileRAT a été utilisé dans des attaques contre des cibles situées dans plusieurs pays européens, dont la Russie, ainsi que contre des cibles au Koweït et aux Émirats arabes unis.