VengeanceRAT
RevengeRAT fait partie d'une campagne malveillante contre les logiciels malveillants qui cible les utilisateurs d'ordinateurs situés en Europe, en Asie, au Moyen-Orient et en Amérique du Nord. RevengeRAT est distribué via une variété de pages Web hébergées sur des plates-formes publiques telles que Blogspot et Pastebin, utilisant également ces pages dans le cadre de l'infrastructure de commande et de contrôle de RevengeRAT utilisée pour mener des attaques RevengeRAT. Les rapports de la dernière campagne RevengeRAT ont commencé à apparaître en mars 2019, même si le cheval de Troie RevengeRAT existe depuis 2016. Cette campagne de malware actuelle associée à RevengeRAT est devenue connue sous le nom d'Aggah et semble cibler les grandes entreprises et les réseaux gouvernementaux.
Table des matières
Comment le cheval de Troie RevengeRAT attaque un ordinateur
Le cheval de Troie RevengeRAT est accessible à tous depuis 2016, publié sur les forums de piratage. Une fois RevengeRAT installé, RevengeRAT permet à l'attaquant de contrôler l'ordinateur infecté à distance. Avec RevengeRAT, les criminels peuvent accéder aux fichiers sur un appareil informatique, exécuter des processus et des services de mémoire, espionner les activités de la victime et apporter des modifications à l'appareil affecté. RevengeRAT permet également aux criminels d'accéder aux périphériques connectés à l'ordinateur infecté, en leur permettant par exemple de suivre les frappes sur le clavier de l'ordinateur infecté ou d'accéder à la caméra ou au microphone pour surveiller l'environnement de l'ordinateur infecté.
Comment RevengeRAT est distribué dans la campagne Aggah
RevengeRAT a été distribué de différentes manières depuis sa création, qui incluent des méthodes de distribution de logiciels malveillants typiques bien connues, telles que l'utilisation de pièces jointes de courrier indésirable ou de publicités en ligne corrompues et de sites Web corrompus. La principale façon dont RevengeRAT est livré dans la campagne Aggah est via des documents corrompus qui utilisent des macros intégrées pour télécharger et installer RevengeRAT sur l'ordinateur de la victime. Les macros intégrées associées à cette campagne utilisent des publications sur Blogspot pour obtenir un script qui utilise le contenu Pastebin pour télécharger du contenu supplémentaire jusqu'à ce que RevengeRAT soit finalement installé et connecté à son serveur de commande et de contrôle. Le fichier leurre initial, qui commence l'attaque RevengeRAT, peut être déguisé de différentes manières et peut changer en fonction de la victime. Un échantillon observé le 27 mars 2019 a été livré dans un faux e-mail d'une banque avec la ligne d'objet `` Votre compte est verrouillé '', incitant la victime à ouvrir le fichier joint en pensant qu'il s'agit d'un document officiel d'une banque.
Comment RevengeRAT infecte un appareil
Lorsque la victime ouvre le fichier leurre, il affiche une image pour inciter la victime à activer les macros Microsoft Office. Permettre que cela se produise permet à RevengeRAT d'être installé sur l'ordinateur de la victime via un processus en plusieurs étapes impliquant diverses URL différentes. Dès que RevengeRAT est installé, ce cheval de Troie désactivera Microsoft Defender et tentera de désactiver d'autres contenus de sécurité sur l'ordinateur de la victime. La variante RevengeRAT installée dans ces attaques récentes est surnommée «explosion nucléaire» et semble mener une attaque RAT par porte dérobée typique. Un lien associé à la distribution RevengeRAT a été cliqué près de deux mille fois avec des cibles dans plus de vingt pays différents. Cela laisse entendre qu'il est très probable que les attaques RevengeRAT aient réussi à atteindre une victime potentielle en particulier.
Protéger vos données contre RevengeRAT
La meilleure protection contre les RAT comme le cheval de Troie RevengeRAT est d'avoir un produit de sécurité entièrement à jour installé sur votre ordinateur. En plus de disposer d'un programme anti-malware fiable, les chercheurs en malwares conseillent également aux utilisateurs d'ordinateurs de s'assurer que d'autres dispositifs de sécurité sur leur ordinateur sont activés, comme un pare-feu fiable et un filtre anti-spam. Les chercheurs en sécurité PC conseillent de désactiver les macros dans Microsoft Office et d'éviter de télécharger des fichiers suspects, en particulier des pièces jointes non sollicitées.
