Démantèlement d'un cheval de Troie vendu comme outil d'administration à distance

Le par Jérôme G.  |  2 commentaire(s)
oeil-numerique

Les autorités ont mené avec succès une opération de démantèlement d'un malware qui ne disait pas son nom et se présentait comme un outil légitime d'administration à distance.

L'Office européen de police Europol et l'unité de coopération judiciaire de l'Union européenne Eurojust ont annoncé le démantèlement de l'infrastructure d'un spyware qualifié de cheval de Troie d'accès à distance. Il était vendu avec une devanture d'outil légitime d'administration à distance.

L'opération a mis à contribution plusieurs agences judiciaires et policières en Europe, ainsi qu'en Colombie et en Australie. Baptisé IM-RAT pour Imminent Monitor Remote Access Trojan, l'outil en question était utilisé dans 124 pays et vendu à plus de 14 500 acheteurs.

Dans le cadre de l'enquête, des perquisitions ont eu lieu en Australie et en Belgique en juin 2019 à l'encontre du développeur d'IM-RAT et d'un employé. Le démantèlement a eu lieu en novembre et des personnes parmi les principaux utilisateurs du spyware ont été interpellées. Plus de 430 appareils - dont des serveurs - ont en outre été saisis.

Europol signale des actions menées la semaine dernière en Australie, Colombie, République tchèque, Pays-Bas, Pologne, Espagne, Suède et au Royaume-Uni.

site-im-rat-saisie
Fin novembre, la police australienne a mis hors ligne le site imminentmethods.net. Le spyware y était présenté comme un outil avancé d'administration à distance conçu pour les systèmes d'exploitation Windows.

Un prix de base affiché était de 25 $, puis 40 $ pour de petites entreprises, 100 $ pour des entreprises comptant jusqu'à 30 employés. Le paiement pouvait se faire avec des cryptomonnaies.

imminent-monitor

Fortinet avait par exemple déjà remarqué une intense utilisation d'IM-RAT lors d'une campagne ayant ciblé des entreprises en Russie.

Europol fait clairement référence à un outil pour des cybercriminels, leur permettant après installation d'avoir accès à la caméra et au micro, d'enregistrer toute l'activité à l'écran, de modifier des fichiers personnels et d'utiliser un appareil infecté pour distribuer d'autres malwares.

" Ce Remote Access Trojan était considéré comme une menace dangereuse en raison de ses fonctionnalités, sa facilité d'utilisation et son faible coût. […] Les victimes se compteraient en dizaines de milliers avec les enquêteurs ayant identifié des preuves de vol de données personnelles, mots de passe, photos privées, séquences vidéo et autres. "

Les autorités ajoutent que désormais, IM-RAT ne peut plus être utilisé par ceux qui l'ont acheté.

  • Partager ce contenu :
Cette page peut contenir des liens affiliés. Si vous achetez un produit depuis ces liens, le site marchand nous reversera une commission sans que cela n'impacte en rien le montant de votre achat. En savoir plus.
Complément d'information

Vos commentaires

Trier par : date / pertinence
Anonyme
Le #2084926
Je me suis toujours posé la question de savoir si les entreprises vendant ce genre d'outils (prise de contrôle à distance) ne pouvait pas se garder une porte d'entrée sur TOUT les PC sur lesquels étaient installés le logiciel (teamviewer, anydesk, nomachine etc etc, voire même le bureau à distance de Windows...) ?!

Ben voilà, j'ai la réponse
FRANCKYIV offline Hors ligne VIP icone 58242 points
Premium
Le #2084994
sansimportance a écrit :

Je me suis toujours posé la question de savoir si les entreprises vendant ce genre d'outils (prise de contrôle à distance) ne pouvait pas se garder une porte d'entrée sur TOUT les PC sur lesquels étaient installés le logiciel (teamviewer, anydesk, nomachine etc etc, voire même le bureau à distance de Windows...) ?!

Ben voilà, j'ai la réponse


En même temps y avait trodjan dans le titre, ça devait mettre la puce à l'oreille ...
icone Suivre les commentaires
Poster un commentaire