LimeRAT

LimeRAT est un simple cheval de Troie d'accès à distance qui offre néanmoins un vaste ensemble de fonctionnalités néfastes aux acteurs de la menace. La menace est conçue pour infecter les systèmes Windows et a une composition modulaire qui peut être ajustée pour agir en fonction des besoins des pirates. Il peut établir une porte dérobée sur la machine compromise et exécuter des commandes arbitraires. Si vous y êtes invité, LimeRAT peut déployer des charges utiles de crypto-mineur ou lancer une routine de cryptage qui verrouille les types de fichiers ciblés d'une manière similaire aux menaces de ransomware. De plus, tous les systèmes infiltrés avec succès peuvent être ajoutés aux botnets.

Si cela ne suffisait pas, LimeRAT peut également agir comme un casier d'écran ou un collecteur de données qui collecte des données et des fichiers privés et les exfiltre vers son serveur de commande et de contrôle (C2, C&C). Toutes les informations téléchargées seront d'abord cryptées à l'aide de l'algorithme cryptographique AES. La menace malveillante peut également détecter les clés USB connectées au système infecté et les utiliser pour se propager davantage.

LimeRAT dispose de plusieurs techniques d'évitement de détection et d'anti-virtualisation. Il peut rechercher des signes d'exécution sur une machine virtuelle (VM) et se désinstaller si nécessaire.

Infection via une ancienne technique de cryptage Excel

LimeRAT est diffusé sous forme de documents Excel en lecture seule dans une campagne d'attaque récemment détectée. Les documents cheval de Troie sont joints aux e-mails de phishing destinés au groupe cible sélectionné. La décision d'utiliser des documents en lecture seule et non verrouillés est délibérée. Les fichiers en lecture seule ne nécessitent pas de mot de passe pour être ouverts et peuvent également être utilisés dans une ancienne technique d'exploitation Excel. Lorsqu'un tel fichier est exécuté, Excel essaiera de le déchiffrer avec un mot de passe par défaut intégré - `` VelvetSweatshop '', tout en activant également les macros intégrées et en permettant à la charge utile corrompue d'initier sa chaîne d'attaque. L'utilisation de cette technique remonte à 2013 et l'exploit a reçu la désignation CVE-2012-0158. Bien que le problème ait été abordé il y a longtemps, il semble que les cybercriminels y reviennent une fois de plus pour tenter d'infecter de nouvelles victimes.