RATicate

Les experts en logiciels malveillants ont repéré un nouveau groupe de piratage qui semble se spécialiser dans les RAT (chevaux de Troie d'accès à distance). Pour cette raison, le groupe de cybercriminalité a reçu le nom de RATicate. Cependant, le groupe de piratage RATicate utilise d'autres menaces, telles que les portes dérobées et les voleurs d'informations. Le groupe RATicate est apparu pour la première fois en 2019 et a depuis mené un certain nombre d'attaques très médiatisées. Le groupe RATicate s'appuie sur une seule infrastructure pour toutes ses attaques, quels que soient les outils de piratage déployés. Cela a permis aux analystes de logiciels malveillants de déterminer qu'entre novembre 2019 et janvier 2020, le groupe de piratage RATicate a effectué cinq opérations RAT à grande échelle.

La plupart des campagnes du groupe RATicate sont concentrées en Corée du Sud, en Europe et au Moyen-Orient. Les cibles du groupe RATicate sont des entreprises qui opèrent dans diverses industries. Après l'opération à grande échelle qui a eu lieu en janvier 2020, le groupe RATicate est resté silencieux pendant un moment jusqu'à ce qu'il revienne sous les projecteurs avec une opération sur le thème du coronavirus. Leur dernière campagne a été utilisée pour livrer plusieurs RAT différents via des techniques de phishing. De nombreux cyber-escrocs utilisent du contenu sur le thème du COVID-19 pour hameçonner les utilisateurs, alors soyez très prudent si vous recevez un e-mail concernant la pandémie. Il est probable qu'il s'agisse d'un stratagème ou d'un autre contenu menaçant, avec lequel vous ne devez en aucun cas interagir.

Parmi les mouvements de signature du groupe de piratage RATicate figure l'utilisation d'installateurs NSIS. L'utilitaire NSIS est un outil légitime que les développeurs utilisent pour créer des programmes d'installation pour différentes applications. Le fait que l'utilitaire NSIS ait une structure modulaire permet aux attaquants de modifier ses fonctionnalités en ajoutant des plugins et des fonctionnalités supplémentaires. Le groupe de piratage RATicate est susceptible d'utiliser cette fonctionnalité pour étendre les fonctionnalités des installateurs et leur permettre de :

• Tue les processus actifs.
• Décompressez les fichiers.
• Charger des DLL (Dynamic Link Libraries) corrompues.
• Exécutez les commandes.

La plupart des campagnes du groupe RATicate déploient des outils de piratage bien connus tels que Betabot , NetWire RAT , Agent Tesla , Lokibot , Remcos RAT , Formbook , etc. Étant donné que les cyber-escrocs RATicate utilisent des outils de piratage populaires comme charges utiles finales, un solution anti-malware à jour sera en mesure de protéger votre système.