Quasar RAT : Un Danger Évolutif en Cybersécurité
Un Cheval de Troie qui se Réinvente
Quasar RAT, un Cheval de Troie d’accès à distance (Remote Access Trojan ou RAT) bien connu, a récemment fait l’objet d’une attention accrue en raison de l’apparition de nombreuses variantes sophistiquées. Ces modifications sont de plus en plus utilisées dans des cyberattaques menées par des groupes de menace tels que BlindEagle et CoralRaider.
Ce malware est principalement diffusé par des campagnes de spear-phishing. Les attaquants se font passer pour des entités légitimes, envoyant des e-mails avec des pièces jointes ou des liens malveillants qui, une fois ouverts, déclenchent l’infection du système de la victime. RotBot, une variante personnalisée du Quasar RAT, a été largement utilisée pour des campagnes spécifiques, permettant aux cybercriminels de voler des données sensibles et d’effectuer des actions malveillantes à distance.
Méthodes d’Infection de Quasar RAT : Une Sophistication Croissante
Les méthodes utilisées pour propager Quasar RAT se sont considérablement complexifiées. Par exemple, certains groupes de menace ont adopté la technique du DLL side-loading, qui consiste à exploiter des fichiers Microsoft légitimes comme ctfmon.exe ou calc.exe pour charger discrètement des DLL malveillantes. Cette méthode permet de contourner les mécanismes de sécurité et d’introduire le malware dans le système tout en évitant les détections.
Les campagnes actuelles montrent une évolution continue de ce malware, notamment avec l’apparition de la variante Venom RAT, qui améliore les capacités d’exfiltration de données. Cette évolution témoigne de l’adaptabilité des acteurs de la menace, qui utilisent ces outils pour cibler des secteurs critiques tels que les gouvernements et les finances.
Ciblage Global : De l’Espionnage au Vol Financier
Les cyberattaques utilisant Quasar RAT et ses variantes se sont propagées dans plusieurs régions, touchant particulièrement des secteurs sensibles. Les opérations menées avec ce malware ne se limitent pas à l’espionnage ; elles visent également le vol financier. Par exemple, le groupe CoralRaider, basé au Vietnam, a ciblé des institutions financières en Asie en utilisant RotBot pour voler des données et détourner des comptes de réseaux sociaux.
Comment se Protéger ?
Pour vous protéger contre ces menaces, il est essentiel de mettre à jour régulièrement vos logiciels de sécurité et de former vos équipes à reconnaître les tentatives de phishing. Utilisez des solutions avancées de détection des menaces qui peuvent identifier les techniques sophistiquées comme le DLL side-loading. En outre, limitez les privilèges administratifs sur vos systèmes pour réduire la surface d’attaque potentielle.
Plus d’infos chez la DGSSI