Une nouvelle plate-forme MAAS (malware-as-a-service) nommée Atroposia fournit aux cybercriminels un cheval de Troie d’accès à distance qui combine des capacités d’accès persistant, d’évasion, de vol de données et d’analyse des vulnérabilités locales.
Le malware est disponible pour un abonnement mensuel de 200 $qui déverrouille des fonctionnalités avancées telles que le bureau à distance caché, le contrôle du système de fichiers, l’exfiltration de données, le vol du presse-papiers, le vol d’informations d’identification, le vol de portefeuille de crypto-monnaie et le détournement de DNS.
L’atroposie a été découverte par des chercheurs de la société de sécurité des données Varonis, qui ont averti qu’il s’agissait du dernier exemple d’une boîte à outils “plug and play” facile à utiliser et abordable, aux côtés de SpamGPT et MatrixPDF.
Aperçu de l’atroposie
Atroposia est un RAT modulaire qui communique avec son infrastructure de commande et de contrôle (C2) via des canaux cryptés et peut contourner la protection du Contrôle de compte d’utilisateur (UAC) pour augmenter les privilèges privilèges sur les systèmes Windows.
Selon les chercheurs, il peut maintenir un accès persistant et furtif sur des hôtes infectés, et ses principales capacités incluent:
- Module HRDP Connect qui génère une session de bureau secrète en arrière-plan, permettant à un attaquant d’ouvrir des applications, d’afficher des documents et des e-mails, et d’interagir avec la session de l’utilisateur sans aucune indication visible. Varonis affirme que la surveillance standard de l’accès à distance peut ne pas le détecter.
- Gestionnaire de fichiers de style explorateur qui permet de parcourir les fichiers à distance, de copier, de supprimer et d’exécuter des capacités. Un composant de capture recherche des fichiers spécifiques, les filtre en fonction de l’extension ou d’un mot clé, compresse les données dans des archives ZIP protégées par mot de passe et les exfiltrent à l’aide de techniques en mémoire pour minimiser les traces.
- Le module Stealer cible les connexions enregistrées, les portefeuilles cryptographiques et les fichiers de discussion, tandis qu’un gestionnaire de presse-papiers capture tout ce qui est copié en temps réel (mots de passe, clés API, adresses de portefeuille) et présente un historique à l’attaquant.
- Module de piratage DNS au niveau de l’hôte qui mappe les domaines aux adresses IP des attaquants afin que la victime soit acheminée silencieusement vers des serveurs malveillants, permettant le phishing, le MITM, les fausses mises à jour, l’injection de publicités ou de logiciels malveillants et l’exfiltration basée sur DNS.
- Scanner de vulnérabilité local intégré qui vérifie les correctifs manquants, les paramètres dangereux et les logiciels vulnérables, renvoyant un score qui permet aux attaquants de hiérarchiser les exploits, démontrant le flux de travail modulaire basé sur des plugins du RAT.
Les chercheurs disent que la vérification des vulnérabilités » est dangereuse dans les environnements d’entreprise car le logiciel malveillant peut trouver un client VPN obsolète ou un bogue d’escalade de privilèges non corrigé. »Cela peut être facilement utilisé pour obtenir un accès plus profond.
Les chercheurs de Varonis affirment que le module vérifie les correctifs manquants, les paramètres non sécurisés et les versions logicielles obsolètes. La fonction peut également être utilisée pour trouver des systèmes à proximité qui peuvent être exploités.
L’émergence de l’atroposie ajoute une autre option MaaS pour les cybercriminels, abaissant la barrière technique et permettant aux acteurs de la menace peu qualifiés d’exécuter des campagnes efficaces.
Pour atténuer le risque, il est conseillé aux utilisateurs de télécharger des logiciels uniquement à partir de sites officiels et de sources réputées, d’éviter les logiciels piratés et les torrents, d’ignorer les résultats de recherche sponsorisés et de ne jamais exécuter des commandes qu’ils trouvent en ligne et qu’ils ne comprennent pas.