Licences multi-appareils (remises sur volume)

Changer de région

English Dansk Deutsch Español Français Italiano Nederlands Polski Português Svenska Türkçe हिन्दी 日本語 汉语 漢語
Threat Database Backdoors TSCookieRAT

TSCookieRAT

Par Mezo en Backdoors, Malware, Trojans
Se traduisent par :
Français

TSCookieRAT est une menace d'accès à distance qui a été exploitée contre des cibles japonaises par le groupe de pirates informatiques portant la désignation BlackTech. L'opération menaçante a utilisé des e-mails d'appât pour inciter les utilisateurs ciblés à cliquer sur une URL menant à la menace. Il convient de noter que TSCookieRAT a également été suivi sous le nom PLEAD au départ, mais une analyse ultérieure a révélé certaines distinctions entre les deux.

Les e-mails de leurre utilisés dans la campagne étaient censés provenir du ministère de l'Éducation, de la Culture, des Sports, des Sciences et de la Technologie du Japon. L'URL fournie dans les e-mails télécharge un fichier DLL chiffré contenant le composant de chargement du TSCookieRAT. Le fichier DLL est ensuite chargé et exécuté en mémoire. Les fonctionnalités nuisibles de la menace sont ensuite étendues dans les dernières étapes de l'attaque en récupérant et en exécutant des modules supplémentaires à partir du serveur Command-and-Control (C2, C&C) de la campagne. Tous les composants avancés sont également exécutés sur la mémoire.

Lorsque TSCookieRAT est prêt à commencer son opération menaçante, il envoie une requête HTTP GET au C&C, puis attend les commandes entrantes. La menace permet à l'escroc d'établir un niveau de contrôle significatif sur le système infecté. Les pirates peuvent exécuter des commandes shell arbitraires, exfiltrer des données, y compris des informations sur le lecteur et le système, manipuler le système de fichiers et récolter des informations sensibles, telles que les mots de passe des navigateurs Web les plus populaires - Chrome, Firefox, Edge, Internet Explorer et le client de messagerie Outlook. Les résultats collectés en réponse aux commandes reçues sont ensuite téléchargés dans le même format que la première requête HTTP POST.

Les campagnes d'attaque BlackTech contre des cibles japonaises peuvent se poursuivre et impliquer différentes menaces de logiciels malveillants.Les entreprises doivent donc maintenir leur cybersécurité à un niveau satisfaisant et mettre en œuvre les correctifs de sécurité logiciels en temps voulu.

 

Tendance

Le plus regardé

Chargement...