Démantèlement d'un cheval de Troie vendu comme outil d'administration à distance

Le par  |  2 commentaire(s)
oeil-numerique

Les autorités ont mené avec succès une opération de démantèlement d'un malware qui ne disait pas son nom et se présentait comme un outil légitime d'administration à distance.

L'Office européen de police Europol et l'unité de coopération judiciaire de l'Union européenne Eurojust ont annoncé le démantèlement de l'infrastructure d'un spyware qualifié de cheval de Troie d'accès à distance. Il était vendu avec une devanture d'outil légitime d'administration à distance.

L'opération a mis à contribution plusieurs agences judiciaires et policières en Europe, ainsi qu'en Colombie et en Australie. Baptisé IM-RAT pour Imminent Monitor Remote Access Trojan, l'outil en question était utilisé dans 124 pays et vendu à plus de 14 500 acheteurs.

Dans le cadre de l'enquête, des perquisitions ont eu lieu en Australie et en Belgique en juin 2019 à l'encontre du développeur d'IM-RAT et d'un employé. Le démantèlement a eu lieu en novembre et des personnes parmi les principaux utilisateurs du spyware ont été interpellées. Plus de 430 appareils - dont des serveurs - ont en outre été saisis.

Europol signale des actions menées la semaine dernière en Australie, Colombie, République tchèque, Pays-Bas, Pologne, Espagne, Suède et au Royaume-Uni.

site-im-rat-saisie
Fin novembre, la police australienne a mis hors ligne le site imminentmethods.net. Le spyware y était présenté comme un outil avancé d'administration à distance conçu pour les systèmes d'exploitation Windows.

Un prix de base affiché était de 25 $, puis 40 $ pour de petites entreprises, 100 $ pour des entreprises comptant jusqu'à 30 employés. Le paiement pouvait se faire avec des cryptomonnaies.

imminent-monitor

Fortinet avait par exemple déjà remarqué une intense utilisation d'IM-RAT lors d'une campagne ayant ciblé des entreprises en Russie.

Europol fait clairement référence à un outil pour des cybercriminels, leur permettant après installation d'avoir accès à la caméra et au micro, d'enregistrer toute l'activité à l'écran, de modifier des fichiers personnels et d'utiliser un appareil infecté pour distribuer d'autres malwares.

" Ce Remote Access Trojan était considéré comme une menace dangereuse en raison de ses fonctionnalités, sa facilité d'utilisation et son faible coût. […] Les victimes se compteraient en dizaines de milliers avec les enquêteurs ayant identifié des preuves de vol de données personnelles, mots de passe, photos privées, séquences vidéo et autres. "

Les autorités ajoutent que désormais, IM-RAT ne peut plus être utilisé par ceux qui l'ont acheté.

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #2084926
Je me suis toujours posé la question de savoir si les entreprises vendant ce genre d'outils (prise de contrôle à distance) ne pouvait pas se garder une porte d'entrée sur TOUT les PC sur lesquels étaient installés le logiciel (teamviewer, anydesk, nomachine etc etc, voire même le bureau à distance de Windows...) ?!

Ben voilà, j'ai la réponse
Le #2084994
sansimportance a écrit :

Je me suis toujours posé la question de savoir si les entreprises vendant ce genre d'outils (prise de contrôle à distance) ne pouvait pas se garder une porte d'entrée sur TOUT les PC sur lesquels étaient installés le logiciel (teamviewer, anydesk, nomachine etc etc, voire même le bureau à distance de Windows...) ?!

Ben voilà, j'ai la réponse


En même temps y avait trodjan dans le titre, ça devait mettre la puce à l'oreille ...
Suivre les commentaires
Poster un commentaire
Anonyme
Anonyme