Les acteurs menaçants opérant sous le nom d’Anonymous Arabic ont lancé un cheval de Troie d’accès à distance (RAT) appelé RAT Argent qui est équipé pour contourner les logiciels de sécurité et lancer furtivement des applications cachées.
« Les développeurs opèrent sur plusieurs forums de hackers et plateformes de médias sociaux, démontrant une présence active et sophistiquée », a déclaré la société de cybersécurité Cyfirma. dit dans un rapport publié la semaine dernière.
Les acteurs, jugés d’origine syrienne et liés au développement d’un autre RAT connu sous le nom de S500 RAT, gèrent également une chaîne Telegram proposant divers services tels que la distribution de RAT craqués, des fuites de bases de données, des activités de cardage et la vente de Facebook et Bots X (anciennement Twitter).
Les robots des réseaux sociaux sont ensuite utilisés par d’autres cybercriminels pour promouvoir divers services illicites en interagissant automatiquement avec le contenu des utilisateurs et en le commentant.
Les détections dans la nature de Silver RAT v1.0 ont été observées pour la première fois en novembre 2023, bien que les projets de l’acteur malveillant visant à diffuser le cheval de Troie aient été officialisés pour la première fois un an auparavant. Il a été craqué et divulgué sur Telegram vers octobre 2023.
Le malware basé sur C# dispose d’un large éventail de fonctionnalités pour se connecter à un serveur de commande et de contrôle (C2), enregistrer les frappes au clavier, détruire les points de restauration du système et même crypter les données à l’aide d’un ransomware. Il semble également qu’une version Android soit en préparation.
« Lorsqu’ils génèrent une charge utile à l’aide du générateur de Silver RAT, les acteurs malveillants peuvent sélectionner diverses options avec une taille de charge utile allant jusqu’à 50 Ko maximum », a noté la société. « Une fois connectée, la victime apparaît sur le panneau Silver RAT contrôlé par l’attaquant, qui affiche les journaux de la victime en fonction des fonctionnalités choisies. »
Une fonctionnalité d’évasion intéressante intégrée à Silver RAT est sa capacité à retarder l’exécution de la charge utile d’une heure spécifique, ainsi qu’à lancer secrètement des applications et à prendre le contrôle de l’hôte compromis.
Une analyse plus approfondie de l’empreinte en ligne de l’auteur du malware montre que l’un des membres du groupe est probablement âgé d’une vingtaine d’années et basé à Damas.
« Le développeur […] semble soutenir la Palestine sur la base de leurs publications sur Telegram, et les membres associés à ce groupe sont actifs dans divers domaines, notamment les médias sociaux, les plateformes de développement, les forums clandestins et les sites Web Clearnet, ce qui suggère leur implication dans la distribution de divers logiciels malveillants », a déclaré Cyfirma.