RAT

Cet article de recherche publié par l’équipe de recherche sur les menaces de Splunk explore les tactiques d’évasion et l’évolution du malware XWorm, un cheval de Troie d’accès à distance (RAT) utilisé par des cybercriminels. XWorm est connu pour sa capacité à enregistrer les frappes clavier, accéder à distance à un bureau, exfiltrer des données et exécuter des commandes. Il est souvent utilisé par des acteurs malveillants ciblant les chaînes d’approvisionnement logicielles et l’industrie du jeu vidéo. Une campagne notable a vu XWorm utilisé en tandem avec AsyncRAT pour déployer des charges utiles de ransomware LockBit Black. ...

CYFIRMA a publié un rapport détaillé sur le malware DuplexSpy RAT, un cheval de Troie d’accès à distance (RAT) sophistiqué ciblant les systèmes Windows. Ce malware est capable de surveillance étendue, de persistance et de contrôle du système, utilisant des techniques d’exécution sans fichier et d’escalade de privilèges pour rester furtif. Le DuplexSpy RAT se distingue par ses fonctionnalités telles que la capture de clavier, la prise de captures d’écran, l’espionnage via webcam et audio, et l’accès à un shell distant. Il utilise des communications sécurisées grâce au chiffrement AES/RSA et à l’injection de DLL pour l’exécution de charges utiles en mémoire. Bien que publié pour des « fins éducatives » sur GitHub, sa polyvalence et sa facilité de personnalisation le rendent attrayant pour les acteurs malveillants. ...

Ce rapport, préparé par Quorum Cyber, met en lumière une campagne de malware ciblant spécifiquement le secteur de l’enseignement supérieur au Royaume-Uni. Deux universités ont été infectées par des Remote Access Trojans (RAT), indiquant une possible escalade des attaques dans ce secteur. Les RATs permettent aux attaquants de prendre le contrôle à distance des systèmes infectés, facilitant l’accès aux fichiers, la surveillance des activités et la manipulation des paramètres système. Les attaquants peuvent également introduire d’autres outils ou malwares, exfiltrer des données ou détruire des informations. Cette campagne utilise des Cloudflare Tunnels pour contourner les pare-feux et maintenir un accès persistant et discret. ...

L’article publié sur aikido.dev rapporte une attaque de type compromission de la chaîne d’approvisionnement détectée dans le package npm rand-user-agent. Ce package est utilisé pour générer des chaînes d’agent utilisateur aléatoires et est maintenu par la société WebScrapingAPI. Le 5 mai, à 16:00 GMT+0, une analyse automatisée de malware a identifié un code suspect dans la version 1.0.110 du package. Le fichier dist/index.js contenait un cheval de Troie d’accès à distance (RAT), qui établissait une communication secrète avec un serveur de commande et de contrôle (C2) via socket.io-client et exfiltrait des fichiers en utilisant axios vers un second point de terminaison HTTP. ...