Devis de remise multi-licences
Données concernant les menaces Logiciels malveillants Rat Atroposia

Rat Atroposia

Par Mezo en Logiciels malveillants, Outils d'administration à distance
Se traduisent par :

Atroposia est un cheval de Troie d'accès à distance (RAT) commercialisé sur des forums clandestins. Il offre à ses utilisateurs un contrôle étendu et discret sur les machines compromises, ainsi qu'une panoplie d'outils permettant de voler des données, de manipuler le comportement du réseau et de sonder les systèmes afin d'y déceler d'autres failles. Compte tenu de ses nombreuses fonctionnalités et de ses techniques d'évasion, toute présence avérée d'Atroposia sur un appareil nécessite une suppression immédiate.

La menace du logiciel malveillant est proposée aux « clients » potentiels selon trois niveaux de paiement :

Loyer mensuel : 200 $

Trimestriel : 500 $ (trois mois)

Semestriel : 900 $ (six mois)

Furtivité, persistance et canal de commande

Atroposis est conçu pour rester indétectable. Il peut élever automatiquement ses privilèges (en contournant le contrôle de compte d'utilisateur), utilise plusieurs techniques de persistance pour survivre aux redémarrages et est conçu pour échapper à la détection antivirus. Ses communications avec les serveurs de commande et de contrôle sont chiffrées, et un panneau de contrôle web simplifie l'exécution de tâches malveillantes, même pour les cybercriminels relativement peu expérimentés.

Contrôle à distance et gestion de fichiers cachés

L'une des caractéristiques principales d'Atroposis est un composant de bureau à distance dissimulé (commercialisé sous le nom de « HRDP Connect ») qui ouvre une session invisible sur la machine de la victime, permettant ainsi à un attaquant distant d'interagir avec le bureau sans que l'utilisateur ne s'en aperçoive. De plus, Atroposis intègre un gestionnaire de fichiers permettant aux attaquants de parcourir les disques et les dossiers, de rechercher des fichiers, de les télécharger, de les supprimer ou de les exécuter à distance.

Collecte de masse et emballage discret

Le RAT contient un programme de capture qui recherche les fichiers par extension ou mot-clé et les regroupe dans une archive ZIP protégée par mot de passe. Il peut assembler et empaqueter les données entièrement en mémoire ou s'appuyer sur les utilitaires système intégrés, minimisant ainsi les traces laissées sur le disque et compliquant la détection forensique.

Capacités de vol d’identifiants et de portefeuilles

Le module de vol d'Atroposia collecte un large éventail de données sensibles : mots de passe de navigateur enregistrés, identifiants d'applications professionnelles et de clients VPN, données de messagerie, données de gestionnaires de mots de passe (le cas échéant) et informations de portefeuilles de cryptomonnaies. Il capture également le contenu du presse-papiers (tout ce qu'un utilisateur copie ou coupe), enregistre et stocke ces entrées. Il peut même écraser le contenu du presse-papiers pour remplacer les adresses de portefeuille ou les identifiants copiés — une technique utile pour détourner des fonds ou pirater des comptes.

Manipulation de réseau et détournement DNS

Le logiciel malveillant peut modifier les paramètres DNS ou intercepter les requêtes DNS afin de rediriger discrètement le navigateur de la victime vers des sites frauduleux contrôlés par l'attaquant (par exemple, de fausses pages de connexion). Comme le navigateur peut encore afficher l'URL attendue, les victimes peuvent être amenées à saisir leurs identifiants en croyant se trouver sur un site légitime.

Opportunités d’analyse et d’escalade des vulnérabilités

Atroposis intègre un outil d'analyse qui examine le système infecté afin de détecter les correctifs manquants, les configurations vulnérables et les logiciels obsolètes. En entreprise, cet outil peut révéler des cibles de grande valeur (clients VPN non patchés, failles d'élévation de privilèges ou autres vulnérabilités) que les attaquants exploitent ensuite pour étendre leur accès au réseau.

utilitaires de télémétrie système et de contrôle à distance

Outre le vol de données et la prise de contrôle à distance, ce RAT collecte les métadonnées système (adresses IP, version du système d'exploitation, géolocalisation et autres informations sur l'environnement), peut lister et gérer les processus en cours d'exécution et prend en charge les opérations d'arrêt et de redémarrage à distance. La boîte à outils comprend également des utilitaires supplémentaires, moins gourmands en ressources, qui, ensemble, offrent une grande flexibilité opérationnelle.

Comment se produisent généralement les infections

Documents malveillants ou utilisés comme armes (par exemple, des fichiers PDF infectés ou d'autres pièces jointes distribuées par courrier électronique)

Logiciels piratés, attaques furtives, publicités frauduleuses, faux services d'assistance technique, partage de fichiers P2P, sites de téléchargement trompeurs, installateurs tiers et autres canaux similaires

Pourquoi ces méthodes de diffusion réussissent : les attaquants s’appuient sur l’ingénierie sociale (faux documents, téléchargements alléchants ou demandes d’exécution de fichiers) ou sur l’exploitation de vulnérabilités et de programmes d’installation trompeurs — la plupart des infections se produisent lorsqu’un utilisateur est amené à exécuter un logiciel malveillant.

Résumé des impacts

Atroposis permet l'exfiltration complète de données (fichiers, identifiants, données du presse-papiers, portefeuilles cryptographiques), le contrôle à distance discret, la redirection réseau par manipulation DNS et la reconnaissance en vue d'une exploitation ultérieure. Son architecture furtive (élévation de privilèges, persistance, stockage en mémoire, serveur de commande et de contrôle chiffré et sessions distantes cachées) la rend particulièrement dangereuse pour les particuliers comme pour les organisations.

Réponse immédiate

Si la présence d'Atroposia est suspectée ou détectée sur un système, déconnectez l'appareil des réseaux, conservez les journaux pour analyse si possible et supprimez le logiciel malveillant dès que possible. Étant donné que les opérateurs peuvent utiliser les identifiants volés et des routes latérales, considérez toute compromission comme potentiellement généralisée et envisagez de changer régulièrement les mots de passe, de révoquer les jetons et de mener une enquête interne approfondie.

 

Tendance

Arnaque au colis égaré de DHL Express

Hameçonnage, Courrier indésirable
Des chercheurs en cybersécurité ont mis en garde contre une campagne d'hameçonnage trompeuse connue sous le nom d'arnaque au colis DHL Express égaré. Ces courriels frauduleux se font passer pour des avis de livraison officiels prétendument envoyés par DHL. Ils incitent généralement le destinataire à vérifier son adresse ou à confirmer la livraison pour éviter que le colis ne soit égaré. En...

Arnaque au nettoyage de routine des comptes inutilisés

Hameçonnage, Courrier indésirable
Des chercheurs en cybersécurité ont découvert que les e-mails de « nettoyage de routine des comptes inutilisés » ne sont pas des notifications de maintenance légitimes, mais plutôt des tentatives d'hameçonnage malveillantes. Ces messages frauduleux sont conçus pour inciter les destinataires à révéler des informations de connexion sensibles sous couvert d'un contrôle de sécurité. Ils ne sont...

Le plus regardé

Chargement...