Qu’est-ce qu’un cheval de Troie d’accès à distance?

Les RATS ou chevaux de Troie d'accès à distance ont parcouru un long chemin depuis l'outil de farce que les enfants des années 90 utilisaient pour effrayer leurs amis.

De la simple ouverture des plateaux de CD et du contrôle des ordinateurs à distance pour effrayer leurs victimes, il est devenu l'un des logiciels malveillants les plus répandus dans la nature.

Voici tout ce que vous devez savoir sur ce cheval de Troie et ce que vous pouvez faire contre une infestation de RAT.

Qu'est-ce qu'un RAT?

Un RAT est un cheval de Troie, un type de malware déguisé en quelque chose d'autre dont les victimes ont besoin, comme un fichier, un programme ou une application légitime. Il incite les victimes à télécharger puis à l'activer afin qu'il puisse se propager dans le système.

Un RAT donne aux cybercriminels un accès complet, illimité et à distance à l'ordinateur d'une victime. Une fois activé, il peut se cacher dans le système pendant plusieurs mois et ne pas être détecté. Il connecte l'appareil de la victime à un serveur de commande et de contrôle (C&C) contrôlé par des pirates.

Le C&C agit comme un hôte distant qui envoie des commandes au cheval de Troie de l'ordinateur de la victime. Il peut enregistrer toutes vos activités à l'écran, accéder et voler des PII (informations personnellement identifiables) comme les numéros de sécurité sociale, voler des informations financières comme les détails de la carte de crédit, prendre des captures d'écran de l'écran, détourner la webcam ou le microphone, et enregistrer ou récolter des frappes.

Connexes: Comment vérifier si votre webcam a été piratée

En plus de donner à un pirate un contrôle administratif sur l'appareil d'une victime, il peut l'utiliser pour propager des logiciels malveillants sur d'autres ordinateurs. Ce méchant cheval de Troie peut faire tout cela sans que la victime le sache.

Des farces pour le plaisir à la cybercriminalité contre de l'argent

Les RAT existent depuis des décennies. Les premiers outils d'accès à distance légitimes ont été créés à la fin des années 80 pour la gestion des machines à distance. Peu de temps après, des enfants malicieux, quoique toujours innocents, férus de technologie, l'ont utilisé pour faire des farces à des amis. Entre le milieu et la fin des années 90, des acteurs malveillants ont eu vent de la technologie et ont commencé à l'utiliser pour causer des dommages.

En 1998, un programmeur informatique suédois a développé un outil d'accès à distance appelé NetBus. Il a affirmé que cela a été principalement créé juste pour faire des farces.

Il est devenu notoire un an après son développement lorsque des attaquants ont téléchargé NetBus et l'ont utilisé pour planter 12 000 images pornographiques, dont plus de 3 000 matériels pédopornographiques, sur l'ordinateur d'un professeur de droit.

Les administrateurs système ont rapidement découvert le matériel, si bien que le professeur a perdu son emploi et a dû quitter le pays. Ce n'est qu'en 2004 qu'il a été disculpé après avoir prouvé que des pirates informatiques téléchargeaient les documents sur son ordinateur en utilisant NetBus.

La controverse NetBus a ouvert la voie au développement de chevaux de Troie d'accès à distance plus sinistres, comme les célèbres SubSeven et Back Orifice. Dans les années 2000, le paysage du RAT a explosé avec des souches qui ont pris de plus en plus de caractéristiques en cours de route.

Quelques développeurs RAT au début des années 2000 ont trouvé un moyen de contourner les pare-feu et les antivirus, voler des informations et ajouter plus d'attaques à leur arsenal. Peu de temps après, les RAT ont été utilisés par des cybercriminels parrainés par l'État pour attaquer des organisations gouvernementales.

De nos jours, les RAT sont disponibles dans toutes sortes de souches et de versions. Certains, comme le nouvel ElectroRAT basé sur Golang, peuvent cibler Windows, macOS et Linux. Il est conçu pour cibler et drainer les portefeuilles de crypto-monnaie.

Connexes: ElectroRAT Malware ciblant les portefeuilles de crypto-monnaie sur Windows 10

Certains développeurs de logiciels malveillants essaient même de regrouper des RAT avec des ransomwares qui peuvent être lancés après avoir obtenu un accès administratif à l'ordinateur. Ils peuvent causer beaucoup de dégâts et ce qui est encore plus alarmant, c'est qu'ils sont facilement disponibles et vendus à bas prix. Selon les recherches , les RATS sont vendus pour aussi peu que 9,47 $ en moyenne sur le marché du dark web.

Comment les gens sont-ils infectés par un RAT?

Les RAT tirent parti des pièces jointes aux e-mails légitimes, des packages de téléchargement, des plugins ou des fichiers torrent. Ils utilisent l'ingénierie sociale pour inciter les victimes à cliquer sur un lien ou à télécharger un fichier qui déclenche une infection.

Les RAT se déguisent également souvent en applications ou programmes légitimes, souvent populaires, publiés sur des forums ou des sites tiers.

S'ils sont envoyés en pièce jointe à un email d'hameçonnage , ils peuvent imiter les bons de commande et les factures ou tout autre document nécessitant une vérification. Une fois que la victime clique sur le fichier de type MS-word, le RAT pénètre dans l'appareil de la victime et s'enfonce souvent dans le système sans laisser de trace.

Méfiez-vous des sites qui prétendent proposer des applications et des programmes populaires à des prix moins chers ou gratuitement. Assurez-vous d'avoir un AV mis à jour sur votre ordinateur, installez immédiatement les correctifs du système d'exploitation et évitez de télécharger des pièces jointes, en particulier de personnes en qui vous n'avez pas confiance. Si un ami vous envoie une pièce jointe, appelez pour vérifier le contenu du fichier avant de l'ouvrir.

Comment savez-vous si vous avez un RAT?

Europol a quelques lignes directrices pour aider les gens à détecter la présence d'un RAT dans leur ordinateur. Méfiez-vous des processus inconnus en cours d'exécution dans le système (qui sont visibles dans le Gestionnaire des tâches, onglet Processus ), faites également attention aux programmes inconnus installés sur l'appareil. Pour vérifier ce dernier, accédez aux paramètres de votre appareil (via une icône d'engrenage), puis vérifiez sous Applications ou Applications et notifications .

Vous pouvez également vérifier pour voir les modifications apportées à vos fichiers, par exemple si certains ont été supprimés ou modifiés. Un autre signe révélateur que vous avez un RAT dans votre système est si vous avez une connexion Internet anormalement lente.

Bien que certaines souches de RAT soient conçues pour être extrêmement difficiles à détecter, si vous ne voyez aucun de ces signes mais que vous voulez quand même vérifier, vous pouvez exécuter une analyse antivirus.

Que faire si vous avez été infecté

Si votre ordinateur a été infecté par un RAT, vous devez supposer que vos informations ont été compromises.

Vous devrez mettre à jour les noms d'utilisateur et les mots de passe de vos comptes à l'aide d'un ordinateur propre ou d'un appareil non infecté. Appelez votre banque pour l'informer de la violation et surveillez vos relevés bancaires pour les transactions suspectes.

Vous pouvez également vérifier vos rapports de crédit au cas où un compte a déjà été créé à votre nom.

Pour le supprimer, vous pouvez suivre ce guide complet de suppression des chevaux de Troie . Vous pouvez également consulter notre guide complet de suppression des logiciels malveillants .

RAT: furtifs et dangereux

Les chevaux de Troie d'accès à distance sont furtifs et dangereux. Ils peuvent causer beaucoup de dommages aux individus et aux organisations.

Bien que cela puisse être difficile à détecter, étant donné que la plupart ne laissent aucune trace, il existe de nombreux sites d'analyse et de suppression de virus qui peuvent vous aider à résoudre le problème.