Logiciel malveillant ResolverRAT
Des chercheurs en cybersécurité ont identifié un cheval de Troie d'accès à distance sophistiqué appelé ResolverRAT, activement utilisé dans des attaques ciblant les secteurs de la santé et de l'industrie pharmaceutique. Ce malware récemment découvert présente un risque sérieux en raison de son comportement furtif et de ses mécanismes d'infection complexes.
Table des matières
Tactiques d’hameçonnage : la peur comme arme
La campagne débute par des e-mails d'hameçonnage alarmistes, conçus pour inciter les destinataires à cliquer d'urgence sur un lien malveillant. Ces leurres évoquent souvent des problèmes juridiques ou des violations de droits d'auteur, destinés à créer la panique et à provoquer une réaction précipitée. Une fois cliqué, le lien mène au téléchargement d'un fichier qui déclenche la chaîne d'infection ResolverRAT.
Tromperie spécifique à une région
Un élément marquant de cette campagne est l'utilisation de contenu d'hameçonnage localisé. Les e-mails sont rédigés dans les langues des régions ciblées (hindi, italien, tchèque, turc, portugais et indonésien), soulignant ainsi la volonté des attaquants d'accroître le taux d'infection grâce à une personnalisation spécifique à chaque région.
Mécanique de l’infection : une réaction en chaîne furtive
ResolverRAT utilise le chargement latéral de DLL pour lancer sa chaîne d'infection. La première étape utilise un chargeur en mémoire pour déchiffrer et exécuter la charge utile principale, chiffrée, compressée et jamais écrite sur le disque. Ces techniques lui permettent de rester indétectable par les outils de sécurité traditionnels.
Résilience grâce à la redondance
Ce malware ne se contente pas d'être furtif : il est conçu pour survivre. ResolverRAT utilise un processus d'amorçage en plusieurs étapes avec des mécanismes de persistance redondants, s'intégrant à différents emplacements du système de fichiers Windows et du Registre. Ainsi, même si une partie du malware est supprimée, il peut se réinstaller.
Infrastructure C2 avancée : cachée à la vue de tous
Une fois activé, ResolverRAT initie une authentification par certificat pour communiquer avec son serveur de commande et de contrôle (C2), contournant ainsi la validation de l'autorité racine. Il propose même une rotation des adresses IP pour changer de serveur C2 en cas de panne, ce qui complique encore davantage les opérations de détection et de démantèlement.
Maîtrise de l’évasion : invisible mais présente
Pour rester discret, ResolverRAT exploite l'épinglage de certificats, l'obscurcissement du code source et des schémas de balisage irréguliers. Ces méthodes non seulement masquent leur présence, mais déjouent également les techniques de détection standard utilisées dans les systèmes de sécurité.
Exfiltration silencieuse de données
L'objectif principal du logiciel malveillant est de recevoir des commandes du serveur C2 et d'exfiltrer des données. Il divise intelligemment les fichiers de données volumineux en blocs de 16 Ko, réduisant ainsi le risque de détection par les outils de surveillance réseau.
L’attribution reste floue, mais des tendances émergent
Bien que la campagne d'attaque reste inconnue, des similitudes d'infrastructure, de thèmes et de techniques – notamment l'utilisation de chargements latéraux de DLL et de leurres de phishing – suggèrent un lien possible avec des attaques déjà documentées. Ce chevauchement pourrait indiquer un réseau d'affiliation commun ou une activité coordonnée d'acteurs malveillants.
Conclusion : une cybermenace persistante et évasive
ResolverRAT incarne la nouvelle génération de malwares : furtif, adaptatif et résilient. Sa conception reflète une compréhension approfondie des défenses de cybersécurité modernes, ce qui en fait une menace redoutable pour les secteurs ciblés et une préoccupation majeure pour les défenseurs.
