Remcos, le cheval de Troie revisité: une campagne colombienne sur le thème du coronavirus

À la fin de l’été 2020, l’équipe Bitdefender Active Threat Control a remarqué une résurgence du malware Remcos, la plupart des attaques se produisant en Colombie. Alors que cette famille de logiciels malveillants est connue des cybercriminels et des chercheurs depuis un certain temps, une nouvelle campagne a attiré notre attention lorsqu’elle est apparue sur les ordinateurs des victimes via des e-mails de hameçonnage (phishing) liés aux services bancaires et aux informations sur la COVID-19.

L’utilisation malveillante de Remcos remonte à 2017. Ce cheval de Troie d’accès à distance (RAT : Remote Access Trojan) a été largement utilisé par des groupes de cybercriminels professionnels avancés (tels que Gorgon ou APT33). Contrairement aux campagnes précédentes, l’attaque en Colombie met en œuvre plusieurs tactiques intéressantes :

• – elle exploite la pandémie de Covid-19 pour inciter les victimes à ouvrir le message de spam et à exécuter le logiciel malveillant initial;
• – elle utilise des charges utiles supplémentaires codées en dur au sein des images via stéganographie (art de dissimuler des données dans d’autres données). Les images contenant des logiciels malveillants sont publiées sur un site populaire d’images virales afin d’échapper aux listes noires;
• – elle est livrée avec plusieurs astuces anti rétro-ingénierie pour occuper les laboratoires de recherche anti-malveillance.

Impact sur la confidentialité

Par nature, les chevaux de Troie d’accès à distance sont des menaces de sécurité majeures car ils permettent aux attaquants d’obtenir un contrôle complet de l’appareil et des données de la victime, y compris l’accès à des capteurs tels que la webcam ou le microphone.

Les informations d’identification de l’utilisateur ou les données stockées sur le système peuvent tomber entre de mauvaises mains et être utilisées ultérieurement pour accéder à d’autres comptes ou pour faire chanter la victime.

Téléchargez l’analyse technique ici (white paper).