Logiciel malveillant VileRAT

Le logiciel malveillant VileRAT est une menace puissante utilisée par les cybercriminels pour cibler les courtiers en devises étrangères et en crypto-monnaie. Des organisations ciblées ou compromises ont été identifiées dans un large éventail de zones géographiques, notamment le Koweït, les Émirats arabes unis, la Fédération de Russie, l'Allemagne, la Bulgarie, etc.

Selon un rapport publié par des experts en logiciels malveillants, VileRAT a été attribué au groupe de cybercriminalité DeathStalker , une organisation censée offrir des services de piratage contre rémunération. La campagne VilerRAT présente les capacités améliorées de DeathStalker pour éviter la détection grâce à l'utilisation d'obfuscations de pointe, multicouches, ainsi qu'à un emballage à faible couche, à un chargeur PE en mémoire avec exécution en plusieurs étapes et même à des contournements heuristiques conçus pour tromper des solutions de sécurité spécifiques. Cependant, la charge utile finale de VileRAT est toujours d'une taille massive de 10 Mo.

Une fois que le RAT (Remote Access Trojan) a été exécuté sur le système piraté, il permet aux acteurs de la menace d'exécuter des commandes arbitraires via l'invite de commande. Les pirates peuvent également télécharger des fichiers ou des charges utiles supplémentaires, exécuter des fichiers choisis, manipuler le système de fichiers, tuer des processus, ouvrir des sites Web, etc. VileRAT peut établir des routines d'enregistrement de frappe pour obtenir des informations sensibles, telles que les informations d'identification du compte, les détails de connexion, les données de paiement, etc.

Pour assurer sa présence continue sur le système infecté, VileRAT active un mécanisme de persistance en créant des tâches planifiées via le planificateur de tâches Windows. Les pirates DeathStalker peuvent pousser les mises à jour de la menace à partir du serveur de commande et de contrôle de l'opération.