Des acteurs malveillants exploitent des outils de jeu légitimes, mais piégés, distribués via des navigateurs web et des plateformes de chat, pour propager un cheval de Troie d'accès à distance (RAT) basé sur Java. Cette campagne sophistiquée utilise un téléchargeur malveillant qui déploie un environnement d'exécution Java portable et exécute un fichier JAR malveillant nommé jd-gui.jar. Pour garantir une exécution discrète, les attaquants s'appuient sur PowerShell et des binaires "living-off-the-land" (LOLBins) tels que cmstp.exe.
La chaîne d'attaque est conçue pour échapper à la détection en supprimant le téléchargeur initial et en configurant des exclusions pour Microsoft Defender, ciblant spécifiquement les composants du RAT. La persistance est établie via une tâche planifiée et un script de démarrage Windows nommé world.vbs, assurant que la charge utile finale est déployée et maintenue sur l'hôte compromis. Le malware identifié par Microsoft est un outil polyvalent agissant comme chargeur, exécuteur, téléchargeur et RAT, se connectant à un serveur de commande et contrôle (C2) à l'adresse 79.110.49[.]15 pour l'exfiltration de données et le déploiement de charges utiles supplémentaires.
L'article mentionne également d'autres familles de RAT, notamment Steaelite RAT, qui combine le vol de données et le ransomware, offrant des fonctionnalités avancées telles que l'enregistrement de frappes, la gestion de fichiers, l'accès à la webcam/microphone, le vol de mots de passe et les attaques DDoS. D'autres RAT comme DesckVB RAT et KazakRAT (suspecté d'être lié à un groupe étatique ciblant des entités kazakhes et afghanes) sont également en circulation, démontrant la diversité et la sophistication des menaces actuelles.
Pour se défendre contre ces menaces, il est crucial de :
- Auditer les exclusions de Microsoft Defender et les tâches planifiées.
- Supprimer les tâches malveillantes et les scripts de démarrage.
- Isoler les points d'extrémité affectés.
- Réinitialiser les identifiants des utilisateurs actifs sur les hôtes compromis.