CobianRAT – un malware pour pirater les pirates


Récemment des chercheurs ont annoncé avoir découvert la prolifération d’un nouveau logiciel de piratage diffusé sur certains forums qui a la particularité d’être lui même vérolé pour prendre en otages les cybercriminels. On aura donc tout vu, un logiciel pirate lui-même piraté, quoi de mieux pour faire la chasse aux hackers ?

Baptisée CobianRAT, ce logiciel permet aux cybercriminels de compiler leur malware selon leurs besoins et de lancer ensuite des attaques ciblées. Installé sur la machine du pirate, CobianRAT agit normalement et remplit la fonction pour laquelle il est prévu. Une fois envoyé sur la machine d’une victime il établit un canal de communication avec les serveurs de commande de contrôle des pirates qui peuvent alors activer un keylogger, visiter le système de fichiers, enregistrer les conversations ou même prendre le contrôle de la webcam de la machine. Mais CobianRAT établit également un second canal de communication qui va parallèlement proposer des fonctions similaires pour les auteurs du Builder Kit sur la machine du pirate.

Les logiciels malveillants sont en circulation depuis février de cette année et ont des similitudes avec la famille de logiciels malveillants njRAT et H-Worm, qui existe depuis au moins 2013. Selon les chercheurs de ThreatLabZ de Zscaler, qui ont découvert la nature back dorée du kit de logiciels malveillants, le «générateur de logiciels malveillants gratuit» est susceptible de permettre à d’autres pirates informatiques de construire leur propre version de la RAT Coby avec une relative facilité.
Une fois que les criminels créent leur propre version de logiciels malveillants à l’aide de ce générateur gratuit, ils peuvent ensuite le distribuer efficacement via des sites Web compromis ou des campagnes anti-spam traditionnelles à des victimes partout dans le monde et sont capables de recruter des dispositifs affectés dans un botnet malveillant. La RAT Cobian récupère les données sur le système compromis, avec la possibilité de saisir des frappes de touches, de capturer des captures d’écran, d’enregistrer de l’audio et de la vidéo de la webcam, d’installer et de désinstaller des programmes, d’exécuter des commandes Shell, d’utiliser des plug-ins dynamiques et de gérer des fichiers.

Les criminels cybernétiques veulent pirater des pirates

Maintenant, si vous êtes enthousiaste en sachant que toutes ces fonctionnalités offertes par les auteurs originaux du kit de création de logiciels malveillants sont gratuites telles qu’elles prétendent, vous vous trompez. Malheureusement, les RAT personnalisés créés à l’aide de ce kit de développement de logiciels malveillants RAR Cobian gratuit ont un module de backdoor caché qui se connecte silencieusement à une URL de Pastebin qui sert d’infrastructure de commande et de contrôle (C & C) des auteurs du kit.

L’arrière-porte, à tout moment, peut être utilisée par les auteurs originaux du kit pour émettre des commandes à toutes les RAT construites sur le dessus de leur plate-forme, mettant éventuellement à la fois des pirates et des systèmes compromis. « Il est ironique de voir que les opérateurs du deuxième niveau, qui utilisent ce kit pour diffuser des logiciels malveillants et voler de l’utilisateur final, se font tromper par l’auteur original », Deepen Desai, directeur principal de la recherche en sécurité chez Zscaler, a écrit en une publication de blog publiée jeudi. « L’auteur original utilise essentiellement un modèle de crowdsourcing pour la construction d’une méga-botnet qui exploite les opérateurs de second niveau Botnet ». Les chercheurs expliquent également que le développeur Cobian d’origine s’appuie sur les opérateurs de second niveau pour développer la charge utile RAT et les infections répandues. L’auteur original peut ensuite prendre le contrôle total de tous les systèmes compromis dans tous les botnines RAT Cobian, grâce au module de la porte arrière. Ils peuvent même supprimer les opérateurs de second niveau en modifiant les informations du serveur C & C configurées par eux.

Une recette de la RAT Cobian unique récemment observée par les chercheurs venait d’un site Web de la solution de défense et de télécommunications basée au Pakistan (qui était potentiellement compromise) et servait à l’intérieur d’une archive .zip masquer en tant que feuille de calcul MS Excel.
La ligne de fond: faites attention aux choses gratuites en ligne très soigneusement avant de les utiliser.

 

Votre commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Gravatar
Logo WordPress.com

Vous commentez à l’aide de votre compte WordPress.com. Déconnexion /  Changer )

Image Twitter

Vous commentez à l’aide de votre compte Twitter. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l’aide de votre compte Facebook. Déconnexion /  Changer )

Annuler

Connexion à %s

Créez un site Web ou un blog gratuitement sur WordPress.com.

Retour en haut ↑

%d blogueurs aiment cette page :