L'Office européen de police Europol et l'unité de coopération judiciaire de l'Union européenne Eurojust ont annoncé le démantèlement de l'infrastructure d'un spyware qualifié de cheval de Troie d'accès à distance. Il était vendu avec une devanture d'outil légitime d'administration à distance.
L'opération a mis à contribution plusieurs agences judiciaires et policières en Europe, ainsi qu'en Colombie et en Australie. Baptisé IM-RAT pour Imminent Monitor Remote Access Trojan, l'outil en question était utilisé dans 124 pays et vendu à plus de 14 500 acheteurs.
Dans le cadre de l'enquête, des perquisitions ont eu lieu en Australie et en Belgique en juin 2019 à l'encontre du développeur d'IM-RAT et d'un employé. Le démantèlement a eu lieu en novembre et des personnes parmi les principaux utilisateurs du spyware ont été interpellées. Plus de 430 appareils - dont des serveurs - ont en outre été saisis.
Europol signale des actions menées la semaine dernière en Australie, Colombie, République tchèque, Pays-Bas, Pologne, Espagne, Suède et au Royaume-Uni.
Fin novembre, la police australienne a mis hors ligne le site imminentmethods.net. Le spyware y était présenté comme un outil avancé d'administration à distance conçu pour les systèmes d'exploitation Windows.
Un prix de base affiché était de 25 $, puis 40 $ pour de petites entreprises, 100 $ pour des entreprises comptant jusqu'à 30 employés. Le paiement pouvait se faire avec des cryptomonnaies.
Fortinet avait par exemple déjà remarqué une intense utilisation d'IM-RAT lors d'une campagne ayant ciblé des entreprises en Russie.
Europol fait clairement référence à un outil pour des cybercriminels, leur permettant après installation d'avoir accès à la caméra et au micro, d'enregistrer toute l'activité à l'écran, de modifier des fichiers personnels et d'utiliser un appareil infecté pour distribuer d'autres malwares.
" Ce Remote Access Trojan était considéré comme une menace dangereuse en raison de ses fonctionnalités, sa facilité d'utilisation et son faible coût. […] Les victimes se compteraient en dizaines de milliers avec les enquêteurs ayant identifié des preuves de vol de données personnelles, mots de passe, photos privées, séquences vidéo et autres. "
Les autorités ajoutent que désormais, IM-RAT ne peut plus être utilisé par ceux qui l'ont acheté.
