Interlock RAT

Par Mezo en Outils d'administration à distance, Menace persistante avancée (APT), Ransomware

Se traduisent par :

Les cybercriminels à l'origine du rançongiciel Interlock intensifient leurs efforts avec une nouvelle variante PHP de leur cheval de Troie d'accès à distance (RAT) personnalisé, Interlock RAT, également connu sous le nom de NodeSnake. Cette menace améliorée a été observée lors d'une vaste campagne utilisant un mécanisme de diffusion évolué appelé FileFix, dérivé de la technique ClickFix, déjà connue. Ce développement marque un changement significatif dans la stratégie d'attaque du groupe, élargissant sa portée et démontrant une sophistication technique croissante.

Table des matières

Entrée furtive : injection de script et redirection du trafic

La campagne, active depuis mai 2025, commence par l'injection sur des sites web compromis d'un extrait JavaScript d'une seule ligne, apparemment inoffensif, intégré au code HTML. Ce script fonctionne comme un système de distribution du trafic (TDS) et utilise un filtrage IP pour rediriger les visiteurs ciblés vers de fausses pages de vérification CAPTCHA. Ces pages frauduleuses utilisent des leurres basés sur ClickFix pour inciter les utilisateurs à exécuter des scripts PowerShell malveillants. Le résultat est l'installation d'Interlock RAT, permettant aux attaquants de pénétrer dans le système de la victime.

FileFix : une innovation de livraison militarisée

Les dernières campagnes observées en juin 2025 illustrent l'utilisation de FileFix, une version plus avancée de ClickFix, comme principal vecteur d'infection. FileFix exploite la barre d'adresse de l'explorateur de fichiers Windows pour inciter les utilisateurs à exécuter des commandes malveillantes par manipulation sociale. Initialement présenté comme une preuve de concept en juin 2025, FileFix est désormais opérationnel pour distribuer la variante PHP d'Interlock RAT. Dans certains cas, ce déploiement préfigure l'installation de la variante plus traditionnelle basée sur Node.js.

Charges utiles à plusieurs étages et capacités furtives

Une fois déployé, Interlock RAT lance la reconnaissance de l'hôte et l'exfiltration des informations système au format JSON. Il vérifie les niveaux de privilèges (UTILISATEUR, ADMINISTRATEUR ou SYSTÈME) et établit le contact avec un serveur de commande et de contrôle (C2) distant. Des charges utiles supplémentaires, sous forme de fichiers EXE ou DLL, sont récupérées pour exécution.

Les mécanismes de persistance comprennent :
Modification du registre Windows pour maintenir l'exécution du démarrage.
Activation du mouvement latéral via l'accès au protocole RDP (Remote Desktop Protocol).

De plus, une technique d'évasion notable consiste à utiliser les sous-domaines du tunnel Cloudflare, masquant ainsi l'emplacement réel du serveur C2. Les adresses IP codées en dur servent de sauvegarde pour maintenir la connectivité en cas de perturbation des tunnels.

Suivi de la menace : cibles passées et motivations présentes

Début 2025, Interlock RAT a été impliqué dans des attaques contre des administrations locales et des établissements d'enseignement au Royaume-Uni, exploitant la variante Node.js. Cependant, le récent passage à PHP, un langage de développement web courant, suggère une approche plus opportuniste ciblant un plus large éventail de secteurs. Ce passage à PHP témoigne d'une décision tactique visant à élargir les vecteurs d'infection, en exploitant potentiellement les infrastructures web vulnérables.

Indicateurs clés de la campagne

Les victimes et les agents de cybersécurité doivent être attentifs aux caractéristiques suivantes des dernières opérations d'Interlock :

Vecteur d'attaque initial :

Injections JavaScript sur une seule ligne sur des sites Web légitimes mais compromis.
Redirection vers de fausses pages CAPTCHA utilisant le filtrage IP.

Comportement des logiciels malveillants après l'infection :

Reconnaissance de l'hôte et exfiltration des informations système au format JSON.
Vérifications de privilèges et exécution de charges utiles à distance.
Persistance basée sur le registre et exploitation RDP pour le mouvement.

Conclusion : le profil de menace croissant du groupe Interlock

L'émergence de la variante PHP du RAT Interlock démontre la polyvalence croissante du groupe et sa volonté de garder une longueur d'avance sur les contre-mesures défensives. En exploitant à la fois les scripts web et les fonctionnalités natives du système, les attaquants Interlock brouillent les frontières entre la diffusion de logiciels malveillants traditionnels et l'exploitation abusive des fonctionnalités système courantes. Les équipes de sécurité doivent rester vigilantes et mettre en œuvre des défenses multicouches pour détecter et bloquer ces menaces en constante évolution.

Le dépôt de bilan de Digital River GmbH, le processeur de paiement d'EnigmaSoft, n'a pas d'impact sur la protection anti-malware des clients de SpyHunter

Rechercher

Changer de région

Interlock RAT

Entrée furtive : injection de script et redirection du trafic

FileFix : une innovation de livraison militarisée

Charges utiles à plusieurs étages et capacités furtives

Suivi de la menace : cibles passées et motivations présentes

Indicateurs clés de la campagne

Conclusion : le profil de menace croissant du groupe Interlock

Soumettre un Commentaire

Tendance

Arnaque crypto Gerolax

Arnaque au placement de commande

Wild Nature

Le plus regardé

Comment corriger l'erreur « Le pilote d'imprimante...

Discord affiche un écran noir lors du partage d'écran

Discord est bloqué sur un écran gris