Deed RAT

Les menaces RAT (Remote Access Trojan) sont conçues pour fournir aux cybercriminels un accès à distance non autorisé aux systèmes piratés. En règle générale, ces menaces peuvent comporter un ensemble varié de fonctionnalités intrusives et peuvent être déployées dans le cadre de différentes opérations d'attaque. Le Deed RAT n'est pas une exception et il pourrait être chargé d'effectuer de nombreuses actions, en fonction des objectifs spécifiques des attaquants. Il faut noter que le Deed RAT n'est pas une nouvelle menace. En fait, il existe depuis un bon moment. Cependant, récemment, les chercheurs d'infosec ont remarqué une augmentation de l'activité Deed RAT, impliquant de nouvelles variantes avec un ensemble mis à jour de fonctionnalités menaçantes. On pense que les acteurs chinois de la menace impliqués dans le cyberespionnage sont à l'origine du regain d'intérêt pour la menace.

Le Deed RAT est une menace modulaire qui est livrée via le chargeur de module principal. Il se compose de trois sections distinctes, chacune portant des droits d'accès différents. À son tour, la porte dérobée principale est capable de charger et de gérer des plugins avec des fonctions spécifiques. Par exemple, la section des données contient huit plugins cryptés. En général, chacun des plugins identifiés est capable d'effectuer cinq opérations utilitaires. Le plug-in réseau est responsable de l'extraction de l'adresse du serveur Command-and-Control (C2, C&C) sous forme de chaîne URL.

La menace peut collecter des informations système, créer une connexion à distance distincte qui permet aux attaquants de travailler avec les plugins, désactiver la connexion à distance et se supprimer pour couvrir les traces des pirates. De plus, le Deed RAT peut interagir avec et modifier le registre Windows.