HabitsRAT

HabitsRAT est une nouvelle menace de malware écrite dans le langage de programmation Go. Il semble que de plus en plus de cybercriminels commencent à utiliser spécifiquement Go, car les logiciels malveillants créés avec lui semblent être plus difficiles à détecter par les produits anti-malware. L'objectif principal d'HabitsRAT, comme son nom l'indique, est d'agir comme un cheval de Troie d'accès à distance (RAT) donnant à l'acteur menaçant le contrôle du système compromis. Lorsque la menace a été découverte initialement par les analystes de la cybersécurité, elle était déployée dans une campagne d'attaque ciblant les serveurs Microsoft Exchange. Depuis lors, cependant, une nouvelle variante de Windows a été publiée aux côtés d'une variante capable d'infecter les serveurs Linux.

Bien que la conception d'HabitsRAT semble assez simple, sa fonctionnalité rend la menace assez efficace. La structure du code des versions Windows et Linux partage un chevauchement considérable avec le code spécifique au système contenu dans les fichiers «commandplatform_windows.go», «keyplatform_windows.go» et «persistencehandler_windows.go». Lors de l'exécution, le binaire de la menace s'installe dans un dossier sur le lecteur - ' % SystemDrive% WindowsDefenderMsMpEng.exe ' pour Windows et ' $ HOME / .config / polkitd / polkitd ' sous Linux. La prochaine action effectuée par HabitsRAT est de vérifier si son mécanisme de persistance a déjà été établi. Sinon, la menace procédera à la création d'une tâche planifiée 'xml' sous Windows tandis que sous Linux, elle utilisera un fichier d'unité 'systemd'.

Une clé de chiffrement vérifie les commandes HabitsRAT

Pour s'assurer que leur outil menaçant n'est pas repris par une autre partie, les cybercriminels ont mis en place une fonction de cryptage. HabitsRAt utilise la cryptographie publique pour crypter, ainsi que pour authentifier les commandes qu'il reçoit des serveurs Command-and-Control (C2, C&C) de la campagne d'attaque. La paire de clés publique-privée est générée à l'aide de la bibliothèque open source Proton Mail.

La clé d'authentification est stockée sur le disque. La version Linux de HabitsRAT écrit soit dans ' $ HOME / .config / .accounts-daemon / accounts-daemon.login.conf ' ou ' /usr/share/accounts-daemon/accounts-daemon.so ' selon qu'il s'agit de signé en tant qu'utilisateur normal ou non. Les versions Windows de la menace utilisent à la place « % SystemDrive% WindowsDefenderMsMpEng.dll » ou « % APPDATA% Windows NTDefenderMsMpEng.dll ».

Si aucune commande n'est reçue, HabitsRAT se met en veille pendant 10 secondes puis envoie une autre requête aux serveurs C2. Toutes les communications entrantes doivent être signées par l'acteur de la menace avec la bonne clé.

Une nouvelle version Windows de HabitsRAT

Les chercheurs en cybersécurité ont découvert une nouvelle version de la variante HabitsRAT qui cible les systèmes Windows. La version 12 d'HabitsRAT semble posséder en grande partie les mêmes fonctionnalités que celles de son prédécesseur. La principale différence est qu'une nouvelle clé C2 est requise alors qu'HabitsRAT prend désormais en charge plusieurs adresses C2. Plus précisément, quatre adresses différentes ont été identifiées, la menace en choisissant l'une d'entre elles au hasard. La liste d'adresses est stockée dans deux fichiers - ' % SystemDrive% WindowsDefenderDefender.dll ' et
« % APPDATA% Windows NTDefenderDefender.dll .»