888 RAT

Le 888 RAT est une ancienne menace de malware qui a été proposée pour la première fois à la vente sur des forums de hackers clandestins en 2018. À l'époque, il avait des fonctionnalités très limitées et ne ciblait que les appareils Windows. Le prix de cette version initiale a été fixé à 80 $.

Cependant, peu de temps après, les développeurs de 888 RAT ont publié une version Pro étendue capable d'infecter les appareils Android. Plus tard, une version Extreme a également été publiée et elle peut désormais être utilisée pour la création de charges utiles Linux. Ces versions étaient au prix de 150 $ et 200 $ respectivement. Pendant cette période, le 888 RAT est resté largement inutilisé par les gangs de cybercriminels. Tout cela a changé lorsque la version Pro a été crackée et publiée gratuitement sur plusieurs sites Web.

Campagnes de 888 RAT Attack

Les chercheurs ont réussi à détecter trois campagnes d'attaque distinctes qui ont utilisé le 888 RAT dans le cadre des charges utiles livrées. L'un est suivi sous Spy TikTok Pro tandis qu'un autre est une opération attribuée au groupe Kasablanca.Cependant, la dernière attaque est active depuis au moins mars 2020 et vise spécifiquement le groupe ethnique kurde. Les attaquants ont déployé la version Android du 888 RAT pour mener des activités d'espionnage sur les appareils compromis. Jusqu'à présent, la campagne a été attribuée à un cybergang suivi sous le nom de BladeHawk.

BladeHawk a déguisé le 888 RAT et, dans de petits cas, une autre menace malveillante nommée SpyNote en tant qu'application légitime. Comme vecteur de compromis initial, les cybercriminels ont utilisé des profils Facebook dédiés qui ont attiré leurs victimes en publiant des informations en kurde sur des événements pertinents pour les partisans des Kurdes. Ils ont également diffusé des liens menant à d'autres applications militarisées vers des groupes Facebook publics à tendance pro-kurde. Les chercheurs ont confirmé que quelques messages appâts sur Facebook ont réussi à enregistrer près de 1 500 téléchargements d'applications trojanisées.

Fonctionnalité

La version Android du 888 RAT est capable de reconnaître et d'exécuter 42 commandes différentes qu'elle reçoit d'un serveur Command-and-Control (C&C, C2). En tant que telle, la menace peut effectuer un large éventail d'activités néfastes sur les appareils violés. Il est équipé des fonctions de base attendues d'une menace Android - manipuler, collecter ou supprimer des fichiers, rassembler des photos, accéder aux messages SMS, récolter la liste de contacts de l'appareil et générer une liste de toutes les applications installées.

De plus, le 888 RAT peut établir de nombreuses routines d'espionnage sur l'appareil. Il s'agit notamment de prendre des captures d'écran arbitraires, de prendre des photos, d'envoyer des SMS, de passer des appels, d'enregistrer les appels audio et téléphoniques environnants effectués sur l'appareil, d'utiliser des techniques de phishing pour collecter les informations d'identification Facebook de la victime, etc.

Tendance

Le plus regardé

Chargement...