Grind3lwald RAT

Les chercheurs d'Infosec ont déterminé que Grind3lwald est un cheval de Troie d'accès à distance (RAT) entièrement fonctionnel qui peut être personnalisé pour effectuer de nombreuses actions intrusives et menaçantes sur des ordinateurs compromis. Bien qu'il ait un site Web officiel où ses auteurs affirment que Grind3lwald n'est pas destiné à être utilisé dans des activités illégales, le RAT est également promu sur des forums de hackers dédiés. En fait, les développeurs de Grind3lwald proposent plusieurs plans tarifaires différents, en fonction de la fonctionnalité souhaitée de la menace. Apparemment, le RAT peut également être chargé d'agir en tant que chargeur, enregistreur de frappe ou voleur.

En règle générale, les chargeurs sont des menaces de stade initial responsables de la livraison des charges utiles de stade suivant. Cela signifie qu'en plus de ses capacités d'accès à distance, Grind3lwald pourrait également être utilisé pour déployer d'autres menaces sur l'appareil de la victime, telles que des ransomwares, des crypto-mineurs, d'autres chevaux de Troie et plus encore. Les enregistreurs de frappe, quant à eux, sont des implants furtifs conçus pour espionner la victime et obtenir des données privées sensibles en suivant chaque saisie au clavier ou à la souris. Enfin, en incluant des fonctions de voleur, Grind3lwald pourrait tenter d'extraire des données privées des navigateurs Web ou d'autres applications installées. Habituellement, les attaquants visent à obtenir des informations d'identification de compte (e-mails, noms d'utilisateur et mots de passe), ainsi que des informations de paiement/bancaires.

Une fonctionnalité supplémentaire offerte par Grind3lwald est la possibilité d'exploiter les macro-commandes dans les documents Excel. Les cybercriminels utilisent souvent des macros corrompues dans leurs campagnes d'attaque comme vecteur initial de compromission des ordinateurs ciblés. Ces macros sont injectées dans un document appât armé et sont exécutées au moment où la victime tente d'ouvrir le fichier. Dans la plupart des cas, ces fichiers compromis sont diffusés via des campagnes de spam.