ESET annonce avoir découvert une nouvelle version du malware ComRAT contrôlé par le groupe Turla réputé pour ses cyberattaques contre les diplomates, les militaires et certaines instances gouvernementales.
La nouvelle menace s’inscrit dans une nouvelle tendance des attaques : se dissimuler derrière des services extrêmement populaires. En effet, en passant par de tels services, les communications entre le malware et ceux qui le pilotent sont masquées dans la volumétrie des flux et sont bien plus compliquées à détecter par les défenses puisque les noms de domaine utilisés sont considérés comme sûrs. On a ainsi vu depuis plusieurs mois des malwares utilisés des services comme OneDrive ou 4Shared.
ComRAT, un vieil ami qui sévit depuis plus de 10 ans, est principalement utilisé pour le vol de documents confidentiels. La particularité de sa nouvelle version est d’utiliser la messagerie Gmail comme un centre de commande C&C. Le malware récupère via des courriers Gmail, les commandes chiffrées à exécuter. Les commandes sont envoyées par les cybercriminels sur l’adresse Gmail via une chaîne de fournisseurs d’emails gratuits.
Pour en savoir plus : From Agent.BTZ to ComRAT v4: A ten‑year journey