Les utilisateurs sud-coréens sont de plus en plus la cible d’attaques de malware véhiculés par des logiciels piratés, un phénomène illustré par l’émergence du NiceRAT malware. Ce programme malveillant, qui infecte les systèmes sous couvert de versions craquées populaires comme Microsoft Windows ou des outils de vérification pour Microsoft Office, soulève des questions urgentes de cybersécurité.
Propagation et mécanismes de diffusion de NiceRAT
Leurre via des logiciels piratés
Ciblant spécifiquement les utilisateurs en Corée du Sud, NiceRAT est souvent dissimulé dans des trousses d’installation de logiciels crackés. Selon le centre de renseignements sur la sécurité AhnLab (ASEC), le manque de méfiance et la tendance des utilisateurs à partager ces cracks contribuent massivement à la propagation autonome du malware. De plus, les acteurs de la menace expliquent généralement comment désactiver des solutions antivirus lors de la distribution du malware, complexifiant ainsi sa détection.
Utilisation de botnets et de RATs pour la distribution
En parallèle, le NiceRAT malware utilise également un réseau de botnets, consistant en ordinateurs zombies contrôlés via un cheval de Troie d’accès à distance, connu sous le nom de NanoCore RAT, pour se propager. Cette technique était déjà utilisée dans des campagnes précédentes exploitant le malware Nitol DDoS pour déployer Amadey Bot.
Développement et capacités de NiceRAT
Un outil en constante évolution
Écrit en Python et disponible sous forme open-source, NiceRAT intègre des fonctionnalités de commande et contrôle via Discord Webhook, permettant aux acteurs malveillants de siphonner des informations sensibles des systèmes compromis. Lancé initialement le 17 avril 2024, NiceRAT est actuellement en version 1.1.0 et est également proposé en version premium par son développeur, suggérant un modèle commercial malware-as-a-service (MaaS).
Liens avec d’autres menaces
La prolifération de NiceRAT coïncide avec le retour du botnet de minage de cryptomonnaies Bondnet, actif depuis 2023. Ce botnet utilise des bots mineurs de haute performance servant de serveurs C2, configurés avec un proxy inverse utilisant une version modifiée d’un outil légitime appelé Fast Reverse Proxy (FRP).
Les solutions de cybersécurité offertes par CyberCare sont conçues pour protéger les entreprises contre de telles menaces en évoluant constamment pour détecter et neutraliser même les formes de malware les plus sophistiquées comme NiceRAT.