Ce nouveau cheval de Troie d'accès à distance (remote access trojan ou RAT) ne se contente pas d’espionner ses victimes et de voler leurs informations, il va jusqu’à se moquer d'elles !
Le Global Research and Analysis Team de Kaspersky (GReAT) a mis au jour une campagne malveillante active distribuant un RAT jusqu'alors non documenté, doté d'un très large éventail de fonctionnalités. Au-delà des fonctions standard d'un cheval de Troie d'accès à distance, il combine des capacités de stealer (vol de données), de keylogger (enregistreur de frappe), de clipper (substitution de données) et de spyware (logiciel espion). Les cybercriminels le vendent à des tiers sous forme de MaaS (malware-as-a-service) et font sa promotion sur YouTube et Telegram, ce qui augmente la probabilité de son utilisation par un large éventail d'acteurs, y compris des opérateurs moins qualifiés.
Grâce à sa fonction de "stealer", le logiciel malveillant peut collecter un large éventail de données sur sa victime : il rassemble des informations sur le système, extrait les identifiants pour Steam, Discord et Telegram, et récolte également les données des navigateurs web. Il représente aussi une menace pour les utilisateurs de crypto-monnaies, car il inclut un "clipper" basé sur le navigateur qui remplace les adresses de portefeuilles crypto.
Au-delà du vol de données, CrystalX RAT est capable d'une surveillance à grande échelle : il peut réaliser des captures d'écran, enregistrer le son du microphone, et capturer des vidéos à la fois via la webcam et l'écran de la victime.
Fait particulièrement marquant, le RAT CrystalX intègre un ensemble de fonctionnalités "ludiques" de type Prankware (logiciel de canular), activement mis en avant par ses développeurs. Ces fonctionnalités permettent aux opérateurs d'interférer visiblement avec le système de la victime en faisant trembler le curseur de la souris, en modifiant le fond d'écran ou l’orientation de l’affichage, en masquant les icônes du bureau, en forçant l'arrêt du système, ou encore en envoyant des notifications pop-up et des messages en temps réel à la victime. Bien que ces fonctions puissent sembler anodines, elles introduisent une dimension psychologique perturbatrice à l'attaque, rendant l'intrusion à la fois visible et éprouvante pour la victime.
Kaspersky rapporte des attaques ciblant des utilisateurs en Russie, mais le cheval de Troie a le potentiel de se propager à d'autres pays en raison de son modèle de vente et de distribution.
« Un ensemble de fonctionnalités aussi diversifiées permet concrètement une compromission à 360 degrés de la victime et une violation totale de sa vie privée. Au-delà de l'accès aux identifiants de comptes, les données volées pourraient potentiellement être utilisées pour du chantage. Pour le moment, le vecteur d'infection initial n'est pas connu avec précision, mais il touche déjà des dizaines de victimes. Notre télémétrie détecte déjà de nouvelles versions des implants, ce qui indique que ce malware est toujours activement développé et executé. Nous nous attendons à ce que le nombre de victimes augmente de manière significative et que sa propagation géographique s'étende dans un avenir proche », déclare Leonid Bezvershenko, chercheur senior en sécurité chez Kaspersky GReAT.
Pour en savoir plus sur CrystalX RAT et ses indicateurs de compromission (IoC), le rapport complet est disponible sur Securelist.com.
Pour rester en sécurité, Kaspersky recommande aux utilisateurs de :
- Faire preuve de prudence en ouvrant et téléchargeant des fichiers reçus par messagerie ou e-mail, car ils peuvent exécuter des logiciels malveillants.
- Se méfier des téléchargements. Il est plus sûr d'installer des jeux et des mods uniquement à partir de sources officielles ou de sites web réputés car les sources non officielles peuvent contenir des malwares.
- Utiliser une solution de sécurité robuste sur tous les ordinateurs et appareils mobiles. Ce genre de solutions permet d’éviter toute infection.
- Activer l'option "Afficher les extensions de fichiers" dans les paramètres Windows. Cela facilitera grandement la distinction des fichiers potentiellement malveillants. Les chevaux de Troie étant des programmes, il est recommandé de rester à l'écart des extensions de fichiers telles que .exe, .vbs et .scr. Les cybercriminels peuvent utiliser plusieurs extensions pour masquer un fichier malveillant en vidéo, photo ou document.
- Être attentif aux notifications envoyées par e-mail. Les cybercriminels diffusent souvent de faux messages imitant des notifications de boutiques en ligne ou de banques, incitant l'utilisateur à cliquer sur un lien malveillant.
À propos de Kaspersky
Kaspersky est une société internationale de cybersécurité et de protection de la vie privée fondée en 1997. Avec à ce jour plus d'un milliard d'appareils protégés contre les cybermenaces émergentes et les attaques ciblées, l'expertise de Kaspersky en matière de sécurité et de renseignements sur les menaces est constamment convertie en solutions et services innovants pour protéger les particuliers, les entreprises, les infrastructures critiques et les autorités publiques dans le monde entier. Le large portefeuille de solutions de cybersécurité de Kaspersky inclut la protection avancée de la vie numérique pour les appareils personnels, des produits et services de sécurité spécialisés pour les entreprises, ainsi que des solutions de Cyber Immunité pour lutter contre les menaces numériques sophistiquées, en constante évolution. Kaspersky aide des millions de particuliers et plus de 200 000 entreprises à protéger ce qui compte le plus pour eux. Pour en savoir plus, consultez le site https://www.kaspersky.fr
