Malware à double tranchant : Gh0st RAT et CloverPlus lancent une attaque coordonnée contre les utilisateurs Windows

Tout commence par un clic - un fichier apparemment anodin qui entrouvre silencieusement la porte à un cauchemar. En quelques minutes, la machine de la victime devient à la fois une vache à lait et un avant-poste secret pour les cybercriminels. La dernière campagne analysée par les chercheurs en sécurité révèle une tendance glaçante : la fusion d’outils d’espionnage à long terme avec des adwares à profit immédiat, délivrant un double coup de poing qui prend même les défenseurs chevronnés au dépourvu.

Malware en tandem : déroulement de l’attaque

L’attaque commence par un chargeur qui dissimule deux charges utiles chiffrées au cœur de sa section de ressources. La première : AdWare.Win32.CloverPlus, un adware classique qui détourne les navigateurs, modifie le comportement au démarrage et déclenche une avalanche de pop-ups - générant des clics frauduleux et des revenus pour les attaquants.

Mais la véritable menace réside dans la seconde charge utile : une variante de Gh0st RAT. Une fois que le chargeur a vérifié qu’il s’exécute depuis le répertoire temporaire du système (pour éviter une détection basique), il déchiffre et déploie le RAT, utilisant le processus légitime Windows rundll32.exe pour se fondre dans l’activité normale.

Gh0st RAT : furtivité, espionnage et sabotage

Gh0st RAT est réputé pour sa discrétion et sa polyvalence. Cette variante manipule les jetons d’accès pour obtenir des privilèges élevés, lui permettant d’espionner d’autres processus et de voler des données sensibles. Il cartographie l’environnement de l’utilisateur, découvre les paramètres réseau et va jusqu’à détourner les processus DNS pour bloquer les mises à jour antivirus - aveuglant ainsi les défenseurs.

Pour éviter les bacs à sable virtuels et tromper les analystes, le malware recherche des artefacts VMware et, s’ils sont détectés, récupère son adresse de commande et contrôle depuis un article de blog caché, utilisant un trafic web légitime comme couverture. Une astucieuse technique de “ping sleep” retarde l’exécution, échappant ainsi aux délais des bacs à sable conçus pour piéger les activités malveillantes de courte durée.

Persistance et vol d’identifiants

Gh0st RAT s’assure de survivre aux redémarrages en s’intégrant dans les clés de démarrage et les services Windows, allant jusqu’à se faire passer pour un service d’accès à distance légitime. Il profile le système, collecte les détails matériels pour le suivi et surveille les sessions Bureau à distance - capturant frappes clavier et identifiants pour une exploitation ultérieure et des mouvements latéraux sur le réseau.

Se défendre contre une double menace

Les équipes de sécurité sont invitées à surveiller toute activité inhabituelle de rundll32.exe, les commandes batch utilisant ping pour le sommeil, et les modifications suspectes du registre. En corrélant ces signaux, les défenseurs peuvent repérer à la fois les tentatives de monétisation de l’adware et l’implantation silencieuse du RAT. L’analyse comportementale continue et la surveillance des endpoints sont désormais essentielles pour perturber ces attaques sophistiquées et en couches avant qu’elles ne s’installent durablement.

Conclusion

Cette campagne à double tranchant rappelle brutalement que les attaquants d’aujourd’hui ne cherchent plus seulement le profit rapide ou les données - ils veulent les deux, et deviennent de plus en plus malins. Pour les défenseurs, la vigilance et la détection comportementale en couches sont les seules vraies réponses face à un malware qui porte deux visages à la fois. La frontière entre nuisance et catastrophe n’a jamais été aussi mince.

WIKICROOK

• Cheval de Troie d’accès à distance (RAT) : Un cheval de Troie d’accès à distance (RAT) est un malware qui permet aux attaquants de contrôler secrètement l’ordinateur d’une victime à distance, facilitant le vol et l’espionnage.
• Chargeur obfusqué : Un chargeur obfusqué est un programme qui dissimule des charges utiles malveillantes, utilisant des techniques pour échapper à la détection et à l’analyse lors de l’infection initiale.
• Living : Living off the Land signifie que les attaquants utilisent des outils système de confiance (LOLBins) pour des actions malveillantes, rendant leurs activités furtives et difficiles à détecter.
• Mécanisme de persistance : Un mécanisme de persistance est une méthode utilisée par les malwares pour rester actifs sur un système, survivant aux redémarrages et aux tentatives de suppression par les utilisateurs ou les outils de sécurité.
• Commande : Une commande est une instruction envoyée à un appareil ou un logiciel, souvent par un serveur C2, lui ordonnant d’effectuer des actions spécifiques, parfois à des fins malveillantes.