Propagation de Neptune RAT via YouTube, Telegram et GitHub

Les chercheurs de la société de cybersécurité CYFIRMA ont découvert un nouveau malware hautement sophistiqué, connu sous le nom de Neptune RAT, qui se propage rapidement sur des plateformes sociales telles que GitHub, Telegram et YouTube, posant une menace significative pour les utilisateurs de Windows dans le monde entier, tant pour les particuliers que pour les organisations.

Ce cheval de Troie d’accès à distance (RAT), également décrit comme le “RAT le plus avancé”, est équipé d’une suite de fonctionnalités malveillantes, y compris un crypto clipper, un voleur de mots de passe, la destruction de systèmes, le déploiement de ransomware, la surveillance en direct du bureau et la capacité de désactiver les logiciels antivirus, etc., ce qui en fait une menace extrêmement sérieuse.

Canaux de distribution et méthode d’infection

Selon CYFIRMA, les créateurs de Neptune RAT (écrit en Visual Basic .NET) ont rendu la dernière version du logiciel disponible gratuitement sur des plateformes sociales sans code source. Les développeurs ont délibérément obfusqué les fichiers exécutables pour entraver l’analyse du malware.

Bien que le développeur le présente comme une version gratuite et affirme qu’il est destiné à des “fins éducatives et éthiques”, ils laissent entendre qu’une version plus avancée et payante est disponible derrière un mur payant, soulevant des préoccupations de sécurité significatives compte tenu de la manière dont elle est distribuée et potentiellement mal utilisée.

Neptune RAT a la capacité de générer des commandes PowerShell directes (en utilisant irm et iex), permettant une livraison et une exécution sans faille. Il utilise des plateformes comme GitHub et des API telles que catbox.moe pour héberger des scripts et des fichiers malveillants. De plus, l’intégration de caractères arabes et d’emojis pour remplacer les chaînes originales rend l’analyse encore plus difficile.

Capacités du malware

Neptune RAT possède plusieurs fonctionnalités dangereuses, telles que :

Vol de données d’identification : Il est capable d’extraire des identifiants ou des détails de connexion de plus de 270 applications, y compris des navigateurs web, des réseaux sociaux et des plateformes financières.

Clipping de cryptomonnaie : Il surveille l’activité du presse-papiers pour détecter les adresses de portefeuille de cryptomonnaie et les remplace par celles contrôlées par les attaquants, redirigeant ainsi des fonds à l’insu de la victime.

Déploiement de ransomware : Une fois activé, Neptune RAT crypte les fichiers sur le système de la victime et exige une rançon pour leur libération, tenant ainsi les données en otage.

Destruction de système : Il contient des fonctionnalités qui peuvent même corrompre des composants système comme le Master Boot Record, rendant l’appareil infecté inopérable.

Techniques d’évasion : Il utilise des méthodes anti-analyse, telles que la détection de machine virtuelle (VM), et établit plusieurs méthodes de persistance par le biais de modifications de registre et de Planificateur de tâches pour s’assurer qu’il peut maintenir un contrôle à long terme sur les systèmes compromis.

Mesures de protection

Pour se protéger contre toute menace potentielle de Neptune RAT, tant les particuliers que les organisations peuvent suivre des mesures de protection, telles que : éviter de télécharger des logiciels ou de cliquer sur des liens provenant de sources non fiables, en particulier sur des plateformes comme GitHub, Telegram et YouTube ;

S’assurer de mettre régulièrement à jour Windows et toutes les applications installées pour corriger les vulnérabilités connues ; utiliser des logiciels antivirus et anti-malware réputés capables de détecter et de bloquer les menaces avancées.

Sauvegarder régulièrement les données critiques pour garantir la récupération en cas d’attaque ; et rester informé des menaces émergentes et pratiquer des habitudes de navigation et de téléchargement sûres.

Pour plus d’informations sur Neptune RAT, vous pouvez consulter le site Web de CYFIRMA ici.