Qui est derrière CodeRAT ? Qui est le développeur de l’un des chevaux de Troie d’accès à distance les plus dangereux du Web ? Nous révélons le secret.
Le code source d’un dangereux RemoteUNaccéderJrojaners (RAT) nommé « CodeRAT » a été publié sur GitHub. Avec ce titre, bleepingcomputer.com a fait sensation sur Internet hier.
Mais qui ou quoi se cache derrière ? GitHub a rapidement supprimé le code source. Cependant, l’article de BleepingComputer ne contient aucune référence ou information supplémentaire. Raison suffisante pour que je regarde de plus près.
La piste nous ramène en 2019. Tout a commencé avec un bot Telegram et un chercheur en sécurité très curieux.
CodeRAT – l’un des chevaux de Troie d’accès à distance les plus dangereux
Ce n’est pas sans raison que CodeRAT est l’un des chevaux de Troie les plus dangereux du Web.
L’objectif principal de CodeRAT est de surveiller au plus près les activités des victimes sur les réseaux sociaux et les ordinateurs locaux.
Pour atteindre cet objectif, le malware prend en charge environ 50 commandes différentes. Celles-ci incluent la prise de captures d’écran, la copie du contenu du presse-papiers, l’obtention d’une liste des processus en cours d’exécution, la suppression des processus, la vérification de l’utilisation du GPU, le téléchargement, le téléchargement et la suppression de fichiers et l’exécution de programmes.
Jusqu’ici tout va bien. Mais où se trouve le code source prétendument publié du logiciel malveillant ? Pour faire court, il a été supprimé de GitHub. Et pas qu’une seule fois.
Mr Moded – Membre du vide
Aussi perspicace que l’article de BleepingComputer, ou plutôt Bill Toulas, l’auteur de l’article, l’est. Malheureusement, nous ne savons pas qui est réellement derrière CodeRAT et quels étaient ses motifs. Il faut creuser un peu plus pour cela.
Si vous prenez votre temps, vous trouverez rapidement le nom du développeur du malware. Encore plus. Il y a même une histoire passionnante qui remonte à 2020.
Après avoir fourni à M. Moded la preuve qu’il était à l’origine du développement du code, il a publié le code source sur son compte GitHub, prouvant que nous avions raison et qu’il était en fait le développeur de CodeRAT.
securityboulevard.com
RoboThiefClient – un voleur de session Telegram
L’histoire a commencé fin 2019-début 2020 lorsque l’analyste des logiciels malveillants Rico Jambor a pris connaissance du RoboThiefClient. Le voleur de session de télégramme « RoboThief » l’a intrigué.
En parcourant un groupe Telegram récemment (fin décembre 2019), j’ai trouvé un outil qui prétend ajouter de faux abonnés à vos chaînes Telegram. C’était une affirmation assez provocatrice. J’ai donc téléchargé l’outil et l’ai analysé. Voici ce que j’ai trouvé.
Rico Jambor
C’est ainsi que « la pierre » a commencé à rouler. Les chercheurs en sécurité de SafeBreach Labs ont également pris connaissance du billet de blog de Rico Jambor et ont commencé à suivre le logiciel malveillant et son développeur. Ce qu’ils ont ensuite découvert avec l’aide de Jambor, ils l’ont documenté en détail et ont confronté le développeur de logiciels malveillants présumé aux faits.
