Ces derniers jours, une tactique que les criminels informatiques savent bien a de nouveau été mise en avant : profiter de l'intérêt des utilisateurs pour les utilitaires et les mods liés aux jeux vidéo pour les tromper et les amener à exécuter un code malveillant. Selon la recherche de Microsoft, les groupes criminels distribuent des sections - ou "troyanized" - d'outils de jeu à travers des navigateurs et des plateformes de messagerie; ces téléchargements agissent comme une passerelle pour un cheval de Troie d'accès à distance (RAT) qui transforme l'ordinateur infecté en une machine télécommandée.
Le squelette de la campagne se distingue par son utilisation d'outils système légitimes pour cacher l'exécution malveillante. Les attaquants préparent un environnement Java portable et libèrent un fichier JAR malveillant (identifié comme jd-gui.jar), en s'appuyant sur PowerShell et les binaires système connus sous le nom LOLBins - par exemple cmstp.exe - pour exécuter le code sans soulever de soupçon. Microsoft a publié un thread dans X expliquant cette chaîne d'attaque et comment les opérateurs effacent leurs pistes en supprimant le téléchargement initial et, en outre, en créant des exclusions dans Microsoft Defender pour les composants RAT: mesures conçues pour rendre la détection et la médiation difficile. La notice Microsoft est disponible sur X ici: https: / / x.com / MsftSecIntel / statut / 2027070355487997998.
La persistance des équipes engagées est réalisée par la création d'une tâche programmée et d'un script de démarrage Windows appelé "world.vbs", qui garantissent que les logiciels malveillants survivent au redémarrage et est réexécuté. Une fois le malware actif, il communique avec un serveur de commande et de contrôle situé dans la direction 79.110.49 [.] 15, d'où l'exfiltration de données, le téléchargement de charge supplémentaire et d'autres actions à distance peuvent être commandés. Microsoft décrit cette famille comme "multi-usage" signifie un chargeur, téléchargement et RAT en même temps, qui souligne sa capacité à évoluer et à étendre son impact sur la machine infectée.
Parallèlement à ces intrusions, les sociétés de cybersécurité ont identifié et analysé de nouvelles familles RAT qui regroupent les fonctionnalités qui étaient vendues séparément. Un exemple récent est Stealite, identifié par BlackFog. Selon cette analyse, Steaelite a été annoncé dans des forums illicites comme un « meilleur RAT pour Windows » avec des capacités FOD (entièrement indétectables) et un support pour Windows 10 et 11. Ce qui est frappant, c'est que ce malware intègre dans un seul panneau web des fonctions de vol d'informations et de déploiement de ransomware, avec un module Android en développement, c'est-à-dire qu'il permet à un seul opérateur de gérer l'accès, extraire des identifiants et déployer des chiffrements de la même interface. Wendy, chercheuse de BlackFog McCague résume le problème dans une image inquiétante : un outil unique qui facilite la double extorsion en combinant l'exfiltration et le chiffrement à partir d'une même carte de contrôle.
Steaelite intègre également des utilitaires qui facilitent la tâche de l'attaquant : keyloggers, conversation client-à-victim, recherche de fichiers, diffusion USB, modification de fond, contournement UAC et fonctions de clipper pour voler des informations copiées dans le presse-papiers. Ce n'est pas une coïncidence que ces suites incluent également des mécanismes pour désactiver ou confondre les défenses - suppression de logiciels malveillants concurrents, désactivation de Microsoft Defender ou exclusions configuration - et d'établir automatiquement la persistance.
Dans le même écosystème, d'autres familles RAT telles que DesckVB et KazakRAT ont été observées, montrant comment les opérateurs modulent leurs capacités et les activent sélectivement après l'intrusion. Le projet DesckVB est accessible au public en tant que dépôt de recherche C'est pas vrai., tandis que l'analyse de KazakRAT suggérant une utilisation possible par les parties prenantes liées à des campagnes ciblées au Kazakhstan et en Afghanistan peut être trouvée dans le rapport de Ctrl Alt Intel.
Compte tenu de cela, les recommandations spécifiques de la défense sont simples sur le plan conceptuel, mais nécessitent une discipline et des outils appropriés. Microsoft conseille d'auditer les exclusions de défense et les tâches programmées, de supprimer les tâches de démarrage malveillantes et les scripts, d'isoler les paramètres engagés et de restaurer les identifiants des utilisateurs qui ont travaillé sur les machines touchées. À cela s'ajoute le fait de bloquer et de surveiller les communications aux domaines suspects ou aux PI - comme la PI associée au C2 cité - et d'examiner les dossiers d'exécution des binaires inhabituels pour détecter les abus de LOLBins.
Outre les mesures réactives, il existe des mesures préventives qui aident à réduire la probabilité d'infection. Gardez le logiciel à jour, évitez d'installer des runtimes ou des outils portables qui ne proviennent pas de sources vérifiées, vérifiez les signatures et les quantités de fichiers téléchargés et limitez les privilèges locaux pour empêcher un téléchargement trompeur de devenir une intrusion persistante. Les organisations devraient activer la protection de l'intégrité et de la manipulation dans leurs solutions antivirus, déployer des capacités EDR qui enregistrent les comportements suspects (par exemple l'utilisation inhabituelle de cmstp.exe ou PowerShell) et avoir une sauvegarde hors ligne solide et vérifiée pour atténuer l'impact d'un éventuel ansomware. Pour mieux comprendre le phénomène LOLBins, voir le projet LOLBAS, qui documente comment les binaires légitimes sont utilisés à des fins malveillantes : https: / / lolbas-project.github.io /.
Une sécurité efficace contre des menaces telles que celles-ci combine l'hygiène numérique de base, les politiques de contrôle des applications, la surveillance du réseau et une réponse rapide. Épuiser les voies d'entrée - pas ouvert exécutables téléchargés à partir de sources peu fiables, mettre en place des restrictions de fonctionnement et revoir les exclusions antimalware - réduit considérablement le risque. Pour les guides pratiques et les mesures de résilience visant à doubler l'extorsion et les menaces Ransomware, des organismes comme la CISA maintiennent des ressources et des guides qui peuvent servir de référence : https: / / www.cisa.gov / ressources-outils.
Si vous utilisez votre équipement pour jouer ou modifier les services publics communautaires, rappelez-vous que la commodité peut avoir un coût: téléchargement et exécution non vérifié est la façon la plus courante d'entrer un RAT dans votre système. Le contraste des sources, la prudence avec les exécutables et une bonne politique de sécurité dans votre environnement personnel ou corporatif sont les meilleures défenses pour une session de jeu de ne pas devenir un accès à distance non autorisé.
Alerte de sécurité La vulnérabilité critique du médicament par injection SQL dans PostgreSQLTM nécessite une mise à jour immédiate
Drucal a publié des mises à jour de sécurité pour une vulnérabilité qualifiée "très critique" qui touche Drumal Core et permet à un attaquant d'effectuer une injection SQL arbit...
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...