Logiciel malveillant LabRat

Un programme malveillant insidieux exceptionnellement difficile à détecter a suscité des inquiétudes en raison de sa capacité apparente à contourner de nombreuses mesures défensives et protocoles de sécurité. Des recherches approfondies menées par des experts ont révélé le malware LabRat, qui présente un niveau de sophistication remarquable dans ses stratégies pour rester caché et opérationnel sans être détecté.

Contrairement à la majorité des cyberattaques similaires qui privilégient la rapidité plutôt que la subtilité, le déploiement du malware LabRat démontre un haut degré de sophistication. Cet acteur malveillant a méticuleusement conçu ses opérations en accordant une attention particulière à la furtivité, un facteur que de nombreux attaquants ont tendance à négliger. Ces efforts consciencieux de la part de l’acteur menaçant sont sur le point d’accroître considérablement les défis auxquels sont confrontés les défenseurs pour identifier et contrer cette menace.

Le logiciel malveillant LabRat effectue des actions de cryptographie et de proxyjacking

L'analyse du malware LabRat montre que la menace est un exemple relativement typique d'un outil de cryptojacking et de proxy jacking. Dans une campagne de cryptojacking, les attaquants utilisent secrètement l'ordinateur de la victime pour extraire de la cryptomonnaie, générant ainsi des profits en exploitant les ressources de la victime. D'un autre côté, une campagne de détournement de proxy consiste à enrôler discrètement l'ordinateur de la victime dans un réseau de partage de bande passante peer-to-peer, ce qui profite à l'attaquant en augmentant ses ressources.

La méthode d'attaque repose sur une vulnérabilité reconnue au sein des serveurs GitLab (CVE-2021-2205), l'exploitant pour réaliser l'exécution de code à distance et introduire la charge utile du malware sur la machine compromise.

Ce qui distingue cette campagne d’attaque particulière, cependant, c’est la détermination remarquable dont ont fait preuve les créateurs de logiciels malveillants à dissimuler leur code. De plus, l'adoption du service TryCloudFlare pour acheminer le trafic ajoute une couche supplémentaire, masquant efficacement l'identité des attaquants des systèmes qu'ils ont compromis.

L’opération d’attaque LabRat met l’accent sur la furtivité

Le malware LabRat est renforcé par un cryptage robuste et des techniques sophistiquées d'ingénierie anti-inverse, ce qui rend sa détection une tâche extrêmement difficile. Les binaires persistants, codés en Go, ont fait preuve d’une capacité remarquable à passer inaperçus, tout comme les composants de crypto-mineurs utilisés par l’attaque.

Les chercheurs ont observé que le groupe LabRat avait fait preuve d’un niveau d’engagement exceptionnel dans ses efforts pour obscurcir le code, permettant ainsi à la charge utile menaçante d’opérer secrètement. En effet, les acteurs de la menace à l’origine de cette campagne semblent accorder une plus grande importance au maintien de la furtivité que beaucoup d’autres, car ils reconnaissent que le temps correspond directement à un gain financier accru. Plus ils peuvent maintenir leur accès longtemps tout en exécutant le logiciel de proxy jacking et de cryptomining, plus leurs rendements monétaires sont importants.

L’importance de rester inaperçu est particulièrement importante dans le contexte du proxy jacking, où l’efficacité d’un réseau non attribuable est directement liée au nombre de nœuds qui le composent. Si le nombre de nœuds diminue, le service devient vulnérable au blocage ou devient tout simplement inefficace.