ReverseRat, un cheval de Troie pakistanais ciblant des entités indiennes
La cyberguerre entre l'Inde et le Pakistan se poursuit. Cette fois, un acteur pakistanais inconnu a utilisé un nouveau malware, appelé ReverseRat, pour compromettre la sécurité du réseau des compagnies d'électricité basées en Inde. Cette nouvelle menace a souvent été utilisée en combinaison avec d'autres charges utiles, et il semble que son objectif principal soit le vol de données et la reconnaissance. Bien que les fonctionnalités de ReverseRat ne soient pas très avancées, il contient plus que suffisamment de fonctionnalités pour permettre à ses opérateurs d'effectuer toutes sortes de tâches sur les systèmes qu'ils compromettent.
ReverseRat employé dans des attaques contre des compagnies d'électricité indiennes
Jusqu'à présent, les chercheurs n'ont pas pu identifier les méthodes exactes utilisées par les criminels pour livrer l'implant, mais il est très probable qu'ils se fient aux pièces jointes des e-mails. Si un utilisateur finit par interagir avec l'e-mail louche, il peut être invité à télécharger une pièce jointe ou un fichier hébergé sur un site externe. Le fichier en question est généralement une archive ZIP, qui contient soit un fichier LNK, soit un fichier PDF. Ces deux fichiers peuvent exécuter du code malveillant si l'utilisateur leur accorde certaines autorisations. Les sujets de ces faux documents peuvent varier, mais les criminels semblent se concentrer sur des sujets spécifiques au secteur de l'énergie, ou liés aux vaccins COVID-19.
ReverseRat contient un grand nombre de fonctionnalités
Avant de s'exécuter, ReverseRat collectera des informations de base sur le réseau qu'il a compromis - adresse MAC, adresse IP, configuration matérielle et logicielle et nom de l'ordinateur. Une fois exécuté, il a la capacité d'effectuer plusieurs tâches :
- Téléchargez et lancez les fichiers exécutables.
- Voler des fichiers.
- Exécutez un nouveau processus.
- Gérer le système de fichiers.
- Liste le contenu du répertoire.
- Affichez les processus en cours et gérez-les.
- Détourner le presse-papiers.
- Prenez des captures d'écran.
Le cheval de Troie ReverseRat a la capacité d'exécuter certains de ses composants en mémoire, minimisant ainsi l'empreinte de données qu'il laisse sur les systèmes qu'il compromet. Cependant, son attaque n'est pas entièrement sans fichier, et cela devrait être facilement détectable par des produits antivirus réputés.