Logiciel malveillant NiceRAT

Par Mezo en Botnets, Malware, Remote Administration Tools

Se traduisent par :

Les experts en sécurité informatique ont découvert une campagne d'attaque impliquant des acteurs malveillants déployant un logiciel menaçant baptisé NiceRAT. Le but de l'opération est de détourner les appareils infectés et de les ajouter à un botnet. Ces attaques se concentrent sur les utilisateurs sud-coréens et utilisent divers déguisements pour propager les logiciels malveillants, notamment des logiciels piratés comme Microsoft Windows ou des outils prétendant valider les licences Microsoft Office.

Table des matières

Le logiciel malveillant NiceRAT est déployé via des programmes et des outils logiciels crackés

Étant donné que les programmes piratés circulent souvent largement parmi les utilisateurs, la distribution du malware NiceRAT est facilitée indépendamment de sa source initiale, en se propageant via des canaux informels d'informations et de partage d'applications.

Étant donné que les créateurs de cracks pour des produits légitimes fournissent généralement des instructions sur la désactivation des programmes anti-malware, la détection du malware NiceRAT distribué devient plus difficile.

Une autre méthode de distribution consiste à utiliser un botnet composé d'ordinateurs compromis infectés par un cheval de Troie d'accès à distance (RAT) appelé NanoCore RAT. Cette tactique fait écho aux activités précédentes où le malware Nitol DDoS était utilisé pour propager un autre malware appelé Amadey Bot .

NiceRAT peut être proposé aux cybercriminels dans le cadre d'un programme MaaS (Malware-as-a-Service)

NiceRAT est un cheval de Troie d'accès à distance (RAT) open source en constante évolution et un logiciel malveillant de vol de données codé en Python. Il utilise un Webhook Discord pour le commandement et le contrôle (C2), permettant aux acteurs malveillants d'extraire des données sensibles des hôtes compromis.

Initialement lancée le 17 avril 2024, l'itération actuelle du logiciel est la version 1.1.0. De plus, il est proposé en édition premium, ce qui indique sa promotion dans le cadre du malware-as-a-service (MaaS), selon les affirmations de son développeur.

Les botnets peuvent être utilisés dans un large éventail d’activités cybercriminelles

Les botnets exploités par des cybercriminels présentent des risques importants pour les individus, les organisations et même des réseaux entiers. Voici quelques risques clés associés aux botnets :

Attaques par déni de service distribué (DDoS) : des attaques DDoS à grande échelle peuvent être lancées par des botnets en coordonnant un volume massif de trafic provenant de plusieurs appareils compromis. Ces attaques submergent les serveurs ou les réseaux cibles, provoquant une interruption des services, voire une indisponibilité totale.

Vol de données et espionnage : les botnets incluent souvent des capacités de vol de données, permettant aux cybercriminels d'exfiltrer des informations sensibles telles que des informations d'identification personnelles, des données financières, des propriétés intellectuelles ou des secrets commerciaux sur des appareils compromis. Ces données récoltées pourraient être mises en vente sur le marché noir ou utilisées à des fins d’usurpation d’identité et d’espionnage industriel.

Campagnes de spam et de phishing : les botnets sont fréquemment utilisés pour envoyer de grandes quantités de spams ou mener des campagnes de phishing. Les appareils compromis au sein du botnet peuvent distribuer des liens malveillants, des e-mails de phishing ou des pièces jointes chargées de logiciels malveillants, incitant les utilisateurs à révéler des informations sensibles ou à installer des logiciels malveillants.

Extraction de crypto-monnaie : les cybercriminels peuvent exploiter la puissance de calcul des appareils compromis au sein d'un botnet pour extraire illégalement des crypto-monnaies. Cette activité draine les ressources de la victime, entraînant une augmentation des coûts énergétiques, une réduction des performances des appareils et des dommages potentiels au matériel.

Propagation de logiciels malveillants : les botnets constituent un mécanisme efficace de distribution de logiciels malveillants. Ils peuvent automatiquement propager et installer des logiciels malveillants sur les appareils vulnérables au sein du réseau, entraînant ainsi de nouvelles infections et augmentant la taille du botnet.

Fraude financière : les botnets peuvent être utilisés pour divers types de fraude financière, notamment la fraude au clic (générant artificiellement des clics sur des publicités en ligne pour obtenir un gain financier), les chevaux de Troie bancaires (vol d'identifiants bancaires en ligne) ou les transactions frauduleuses utilisant des comptes compromis.

Cyberespionnage et guerre : dans le cadre d'attaques plus sophistiquées, les botnets peuvent être utilisés à des fins de cyberespionnage en infiltrant des agences gouvernementales, des infrastructures critiques ou des organisations de premier plan. Ils peuvent également être utilisés dans des scénarios de cyberguerre pour perturber ou saboter des systèmes critiques.

Credential Stuffing et attaques par force brute : les botnets peuvent être utilisés pour mener des attaques de credential stuffing ou de force brute à grande échelle, en essayant d'obtenir un accès non autorisé à des comptes, des systèmes ou des réseaux en ligne en essayant systématiquement différentes combinaisons nom d'utilisateur/mot de passe.

Les risques posés par les botnets soulignent l'importance de maintenir des mesures de cybersécurité strictes, notamment des mises à jour régulières des logiciels, des solutions anti-malware robustes, une surveillance du réseau et une éducation des utilisateurs pour atténuer la menace d'infections par les botnets.