Il ne déclenche aucune alerte et ne laisse rien quasiment traîner sur le disque. Pourtant, ce cheval de Troie peut bel et bien accorder un accès complet à votre machine. Et a priori, il s’en sort plutôt bien.
Comme son nom le suggère, ResolverRAT appartient à la catégorie des RAT, ou cheval de Troie d’accès distant. Repéré dès mars dernier par les équipes de Morphisec, il permet à un opérateur externe d’interagir avec le système infecté, d’exécuter des commandes à distance ou d’en extraire des fichiers. Bref, sur le papier, rien de très nouveau. En revanche, ce qui change, c’est la manière dont il s’installe – ou plutôt, dont il évite de s’installer vraiment.
De l’art d’infiltrer une machine sans se faire remarquer
Car le malware s’exécute exclusivement en mémoire, fait assez rare pour être soulevé. En d’autres termes, il ne crée aucun fichier visible sur le disque, ne modifie pas les exécutables existants, et évite soigneusement tout comportement susceptible de faire tiquer antivirus et solutions EDR.
D’après les équipes de Morphisec, ResolverRAT se propage par phishing, essentiellement dans le secteur de la santé. En PJ du mail reçu, une archive contenant deux éléments : un programme tiers parfaitement légitime – hpreader.exe, signé, valide, déjà utilisé dans d’autres campagnes liées à la diffusion de Rhadamanthys – et une bibliothèque malveillante. Or, si vous êtes un peu au fait des techniques de cyberattaques, vous voyez les choses venir de loin. À l’exécution, l’EXE charge automatiquement la DLL malicieuse, sans vérifier sa légitimité.
Une fois l’infection initiée, le code malveillant s’exécute à la volée, directement dans la mémoire de l’ordinateur. ResolverRAT évite aussi de passer par les fonctions système les plus surveillées en exploitant un mécanisme interne du framework .NET pour y glisser ses propres composants. Ni vu, ni connu.
L’exécution repose ensuite sur un enchaînement précis : composants chiffrés, chaînes de caractères masquées, persistance dans la base de Registre et gestion des ressources internes pensée pour ne jamais passer par les fonctions système les plus surveillées. Le malware intègre aussi un certificat TLS pré-configuré, ce qui lui permet d’établir des connexions réseau chiffrées sans dépendre des autorités de certification de la machine. Objectif final : récupérer les données qu’il découpe en petits blocs de 16 Ko, ce qui lui permet d’éviter les pics de bande passante inhabituels.
Une campagne mondiale et des protections qui peinent à suivre
Dans son rapport, Morphisec affirme avoir repéré des versions de ResolverRAT en italien, en hindi, en tchèque, en turc, en portugais ou encore en indonésien. De quoi suggérer une opération internationale, avec des contenus localisés et des cibles bien identifiées. L’infrastructure employée rappelle celle utilisée dans d’autres campagnes, notamment celles associées aux infostealers Rhadamanthys ou Lumma. Mais dans ce cas précis, les chercheurs estiment avoir affaire à une souche inédite, avec ses propres mécanismes.
Si le secteur de la santé est le premier visé, rien n’empêche cette méthode d’être transposée ailleurs. D’autant plus quand les protections traditionnelles – fondées sur la détection de fichiers ou l’analyse réseau – sont impuissantes face à une menace qui n’utilise ni l’un ni l’autre. Même constat pour les outils comportementaux, à la peine face à un code pensé pour ne laisser aucune trace.
Bref, la meilleure solution consiste encore à faire de la prévention et à rester extrêmement vigilant. Sensibilisez vos équipes aux risques de phishing, évitez de cliquer sur des liens inattendus, vérifiez l’origine réelle d’un message, n’exécutez pas de fichier sans avoir pu en confirmer la source, ne cédez pas à la panique ni à l’urgence d’un mail pseudo officiel… Des conseils élémentaires mais toujours d'actualité, même face à des campagnes techniquement plus élaborées.
Source : Morphisec
