Des acteurs malveillants ont été observés en train de déployer un malware appelé NiceRAT pour coopter les appareils infectés dans un botnet.
Les attaques, qui ciblent les utilisateurs sud-coréens, sont conçues pour propager le malware sous couvert de logiciels piratés, tels que Microsoft Windows, ou d’outils prétendant offrir une vérification de licence pour Microsoft Office.
« En raison de la nature des programmes de crack, le partage d’informations entre les utilisateurs ordinaires contribue à la distribution du malware indépendamment du distributeur initial », a déclaré l’AhnLab Security Intelligence Center (ASEC). dit.
« Étant donné que les auteurs de menaces expliquent généralement comment supprimer les programmes anti-malware pendant la phase de distribution, il est difficile de détecter les logiciels malveillants distribués. »
Les vecteurs de distribution alternatifs impliquent l’utilisation d’un botnet composé d’ordinateurs zombies infiltrés par un cheval de Troie d’accès à distance (RAT) appelé NanoCore RATreflétant une activité antérieure qui exploitait le Logiciel malveillant DDoS Nitol pour avoir propagé un autre malware baptisé Amadey Bot.
NiceRAT est un activement développé RAT open source et logiciels malveillants voleurs écrit en Python qui utilise un Webhook Discord pour le commandement et le contrôle (C2), permettant aux acteurs malveillants de siphonner les informations sensibles de l’hôte compromis.
Sortie pour la première fois le 17 avril 2024, la version actuelle du programme est la 1.1.0. C’est aussi disponible en tant que version premium, selon son développeur, ce qui suggère qu’il est annoncé sous le modèle malware-as-a-service (MaaS).
Le développement intervient au milieu du retour d’un Botnet de minage de crypto-monnaie appelé Bondnet, qui a été détecté en utilisant des robots mineurs hautes performances comme serveurs C2 depuis 2023 en configurant un proxy inverse à l’aide d’une version modifiée d’un outil légitime appelé Fast Reverse Proxy (PRF).