Des RAT avec un esprit d’entreprise : AlienSpy et TaaS (Trojans as a Service)

Les RAT permettent aux pirates de prendre pied sur un système cible. Après avoir installé la charge utile côté client (par phishing), l’opérateur du RAT peut lister et télécharger les fichiers, implanter des logiciels malveillants supplémentaires, lancer des applications et utiliser l’interpréteur de commandes. 

En écoutant depuis le port 80 du serveur C2 du pirate, le RAT peut masquer son trafic réseau et apparaître comme une interaction Web ordinaire. La furtivité supplémentaire provient d’autres dispositifs de dissimulation intégrés. En résumé, les RAT sont difficiles à détecter. 

Des RAT plus évolués tels que KilerRAT vont au-delà de ces caractéristiques de base. Ils comportent parfois des fonctions de journalisation des frappes au clavier, accèdent à la caméra d’un ordinateur portable ou manipulent directement les entrées de Registre Windows. 

Bien sûr, ils ont plus de clinquant. Mais au fond, même les RAT les plus récents se comportent largement comme ceux des premières générations à propos desquels nous avons déjà écrit.

Adwind, AlienSpy & Cie changent la donne

Il semble qu’un meilleur genre de RAT a émergé d’un laboratoire pirate maléfique. Il s’appelle Adwind et c’est le roi des RAT de pedigree cheval de Troie.

Les gens de Kaspersky qui traquent ces créatures disent qu’Adwind a été lancé en 2013. Ce qui rend ce RAT très intéressant est que vous ne devez pas nécessairement l’acheter. Il faut en effet vous faire à l’idée que les RAT et autres logiciels malveillants se vendent comme des logiciels ordinaires sur l’Interweb.

Dans le cas d’Adwind, le malware est hébergé dans le cloud et les pirates paient un abonnement mensuel. Ils peuvent ajouter des fonctionnalités de manière dynamique selon leurs besoins et choisir des cibles au moyen de campagnes de phishmail. Dans ce modèle, les pirates aspirants et débutants n’ont même pas besoin de s’ennuyer avec l’installation. Celle-ci est effectuée pour eux. 

Les esprits derrière ce « Trojan as a Service » s’avèrent pour le moins entrepreneuriaux. 

Adwind comporte ainsi une particularité intéressante : il reste indépendant du système d’exploitation, car il est écrit en Java. Il s’exécute sous Windows, Linux et toute autre plateforme disposant d’un environnement runtime Java. Le phishmail contenant la charge utile est véritablement un fichier JAR.

La mise en scène du malware reste fluide avec des changements de nom du produit et de nouvelles fonctionnalités ajoutées en permanence. 

À un certain moment en 2015, AlienSpy a été présenté comme une meilleure version d’Adwind. Ce tout dernier RAT possède des capacités améliorées de détection et de désactivation des logiciels antivirus. Il peut même désactiver le contrôle de compte d’utilisateur de Windows.

Il utilise également Allatori, un obfuscateur Java commercial, ce qui complique notablement l’ingénierie inverse du code. En d’autres termes, les pirates protègent leur propriété intellectuelle.

Fils d’AlienSpy

AlienSpy et son prédécesseur ont été de vraies réussites. Selon Kaspersky, ses diverses versions ont infecté plus de 400 000 systèmes à l’échelle de la planète.

Enfin, pour ajouter à la confusion, AlienSpy a été récemment rebaptisé en raison de toute l’attention et de l’analyse qu’il a reçues. Il est désormais connu sous le nom de JSocket et l’on signale qu’il dispose d’un autochiffrement amélioré qui le rend encore plus difficile à analyser.

Pensez-vous à la même chose que nous ? Il y aura toujours une nouvelle menace qui ne pourra être immédiatement détectée. Tout comme leurs homologues flous, les RAT ne sont qu’un élément du paysage.