Microsoft émet un avertissement pour les nouvelles industries de ciblage RAT

Microsoft Security Intelligence a publié une série de tweets, mettant en garde contre la propagation d'une nouvelle souche de logiciels malveillants qui cible les industries de l'aérospatiale et du voyage. Le malware en question a été nommé RevengeRAT.

Un RAT ou un cheval de Troie d'accès à distance est un type de logiciel malveillant qui permet aux acteurs malveillants d'obtenir un contrôle considérable sur un système ou un réseau infecté. Les RAT incluent généralement un composant de porte dérobée qui permet aux pirates d'envoyer des commandes et d'exécuter du code sur le système victime tout en restant non détectés le plus longtemps possible.

Le nouveau RevengeRAT, également appelé AsyncRAT, se propage principalement à l'aide d'e-mails de spear-phishing. Le spear-phishing est la méthode d'envoi de courrier malveillant, masquant le courrier électronique pour donner l'impression qu'il a été envoyé à partir d'une source de confiance, généralement une personne que le destinataire connaît déjà et en qui il a confiance.

Contrairement au phishing classique où les e-mails sont envoyés dans le cadre de campagnes de spam de masse, le spear-phishing a tendance à être une approche plus ciblée, se concentrant sur une entreprise, une organisation ou une entité spécifique.

Les e-mails malveillants diffusant RevengeRAT ont une pièce jointe se faisant passer pour un fichier Adobe PDF, alors qu'en réalité il s'agit d'un fichier Visual Basic, chargé de scripts malveillants. Une fois le script exécuté, il déploie la charge utile RAT. Le fichier malveillant dans le fichier joint utilise généralement des services Web légitimes et contient un lien vers le fichier de script Visual Basic.

La société de sécurité Morphisec, citée dans les tweets de Microsoft, a nommé le chargeur utilisé dans le déploiement de RevengeRAT "Snip3". Un fait curieux à propos du chargeur est qu'il ignore complètement le déploiement du composant cheval de Troie d'accès à distance s'il découvre qu'il est en cours d'exécution dans un Windows Sandbox ou un autre environnement de machine virtuelle qui peut être utilisé comme un sandbox anti-malware.

Le RevengeRAT a la capacité d'exfiltrer les informations de connexion, de capturer des captures d'écran et d'accéder aux webcams et de jeter un coup d'œil dans le contenu du presse-papiers.

Une fois que le RAT a été déployé sur le système de la victime, il contacte son serveur de commande et de contrôle, à l'aide d'un site d'hébergement dynamique, puis a abusé de PowerShell et de méthodes sans fichier pour récupérer et déployer trois autres charges utiles à partir de liens publics sur des sites tels que Pastebin.

Les mots-clés et l'angle utilisés dans les e-mails de spear-phishing utilisés par les mauvais acteurs qui mènent les campagnes RevengeRAT actuelles sont tous orientés vers les travailleurs des secteurs du voyage et de l'aérospatiale, selon Microsoft.

Les tweets ont en outre noté que le Defender de Microsoft peut détecter les composants séparés de ce malware et réagir à chaque étape de l'attaque.