Computer Security La campagne de phishing propage le RAT Babylon emballé de...

La campagne de phishing propage le RAT Babylon emballé de nombreuses fonctionnalités

campagne hameçonnage des rats babylon outil RAT (Babylon Remote Administration Tool) est de retour avec une nouvelle campagne de phishing diffusant le malware, comme ont observé les analystes de Cofense . Babylon RAT est une menace à code source ouvert, riche en fonctionnalités, qui peut perturber tout réseau qu’elle parvient à infiltrer. La grande polyvalence qu’elle possède permet à Babylon RAT d’être adapté aux objectifs spécifiques des attaquants.

Babylon RAT a beaucoup outils

Une fois que Babylon RAT est exécuté, il établit une connexion avec un serveur de commande et de contrôle (C & C) qui est codé en dur dans le fichier binaire du logiciel malveillant. Les domaines dynamiques les plus probables sont utilisés afin que les adresses IP puissent être modifiées sans interruption de la communication avec le serveur. La connexion est codée et transfère des données privées relatives à hôte infecté, telles que le nom utilisateur, le nom du PC, adresse IP, le pays, le système exploitation et même la fenêtre du programme actuellement active. Ces informations sont mises à jour toutes les 5 secondes et peuvent être consultées sur le panneau administration de Babylon RAT.

Pour réduire les chances de détection, tout système infecté par Babylon RAT peut être transformé en proxy SOCKS. Cela signifie qu après une propagation latérale sur le réseau, toutes les machines compromises peuvent utiliser le proxy SOCKS créé en tant que passerelle pour le trafic de données sortant vers le serveur C & C. De plus, cette méthode permet de contourner le filtrage des adresses électroniques et des URL.

Une autre fonctionnalité intégrée à Babylon RAT est la récupération de mot de passe. Une fois lancé, le logiciel malveillant passera par les applications installées, y compris les navigateurs Web, et les recherchera pour obtenir les informations identification. Bien que le module de récupération de mot de passe ne vole pas les informations identification de utilisateur du système exploitation, Cofense suppose que déjà avoir accès au nom utilisateur associé à quelques mots de passe collectés pourrait facilement permettre aux attaquants de compromettre les informations identification du système exploitation, ouvrant ainsi une multitude de nouveaux risques de sécurité pour organisation attaquée.

Babylon RAT peut lancer des attaques DoS

Un module distinct est chargé de lancer les attaques par déni de service. Le DoS peut être ciblé vers un certain nom hôte ou une plage IP, tandis que des paramètres tels que les threads et les sockets peuvent être ajustés pour un ou plusieurs protocoles. Une commande DoS envoyée à un des systèmes informatiques peut être transférée au reste des hôtes infectés, ce qui donne lieu à une attaque de type DDoS (Distributed Denial of Service).

Grâce à sa multitude de fonctions, Babylon RAT peut avoir des effets dévastateurs sur toute organisation qu’elle parvient à infecter. Adopter des techniques anti-hameçonnage appropriées et prendre des mesures pour détecter et arrêter les menaces de façon préventive est considéré comme le plan action préféré par rapport à alternative consistant à faire face à des logiciels malveillants déjà profondément enfouis dans infrastructure réseau de entreprise.

Chargement...