C’est un cauchemar pour tout possesseur d’un appareil. Un RAT peut faire beaucoup de dégâts sur votre ordi. Ou saccager les fichiers de votre smartphone. Et ronger vos économies sur votre compte bancaire.
Un RAT, c’est quoi ?
RAT est l’abréviation de « Remote Access Trojan », un cheval de Troie de prise de contrôle à distance discrète d’un ordinateur ou smartphone à des fins malveillantes. Ce logiciel malveillant a un impact maximal sur votre système, vos données, votre vie privée et votre argent. Inutile de dire qu’un RAT est l’un des programme nuisible les plus dangereux qui soit.
On pourrait croire que ça ne concerne que les ordis sous Windows, Linux ou MacOS. C’est complètement faux. Tout le monde possède un smartphone aujourd’hui, que ce soit un Android ou un iPhone. Alors les obsédés de l’espionnage audio et vidéo ne s’en privent pas pour s’attaquer aussi aux téléphones mobiles.
Comment il s’installe sur votre appareil ?
Ce programme nuisible peut être caché dans une application utile. Quand vous installez cette application sur votre appareil, le Remote Access Trojan s’installe aussi, discrètement.
Il peut aussi se cacher dans un spam, un fichier à télécharger torrent ou un lien Web inconnu.
Ses dangers
Avec un RAT, si vous êtes connecté sur le compte administrateur de la machine, un pirate a accès à l’ensemble de l’appareil. Il peut tout faire et tout voir. C’est le scénario catastrophe.
Si ce logiciel était installé sur votre appareil, le pirate aurait accès à votre ordi ou smartphone comme s’il était à votre place, à votre insu. En y restant aussi longtemps qu’il serait non détecté par votre antivirus et votre pare-feu. Et sa capacité de nuisance serait illimitée. Ainsi il pourrait tout faire sur votre appareil et même au-delà :
- fouiller dans vos fichiers sur votre disque et la clé USB ou le disque dur externe branché,
- les lire, copier, modifier, supprimer, rendre illisibles, et notamment endommager votre système,
- voir votre écran,
- installer un autre logiciel malveillant,
- espionner votre comportement sur Internet,
- enregistrer vos mots de passe sur tous les sites, y compris bancaires,
- stocker des fichiers lui appartenant, comme des données volées ailleurs,
- miner de la cryptomonnaie,
- diffuser un malware à vos contacts par message,
- attaquer un serveur sur Internet à partir de votre ordi, etc
Tout ça suffisamment discrètement pour que vous ne vous en rendiez pas compte. Une fois installé sur votre ordi, le cheval de Troie de prise de contrôle se connecte automatiquement à une machine distante sur Internet, le serveur de commande et contrôle. À partir de cette machine le pirate prend la main sur votre appareil et récupère vos fichiers et vos informations confidentielles.
Comment le détecter ?
Un « Remote Access Trojan » est difficile à détecter. Votre antivirus devrait l’empêcher de s’installer sur votre appareil. Ou par la suite votre pare-feu devrait intercepter des communications sur Internet suspectes. Mais les hackers black hat l’ont conçu pour contourner ces protections.
Par ailleurs certains symptômes peuvent apparaître, par exemple :
- des performances dégradées peuvent signifier qu’un pirate est en train d’utiliser votre ordinateur pour miner de la cryptomonnaie par exemple
- votre espace disponible a baissé subitement parce que le malfaiteur utilise votre smartphone pour stocker des quantités de fichiers
- votre navigateur redirige vos recherches vers des pages inhabituelles.
Pour vous protéger des sales RATs
Vous verrez dans un prochain article comme renforcer votre sécurité sur Internet contre ce type de malware, les « Remote Access Trojan », les chevaux de Troie de prise de contrôle à distance de votre appareil.
Des exemples de « Remote Access Trojan »
- CapraRAT cible les smartphone Android en se faisant passer pour un jeu, une appli de vidéos de sexe ou un réseau social. Une fois lancé, il envoie une vidéo pour distraire l’utilisateur. Pendant ce temps le pirate passe un appel téléphonique, prend des captures d’écran, enregistre ce que vous dîtes ou vous filme à votre insu.
- Coruna prend le contrôle de votre iPhone. Même si ce n’est pas un RAT au sens strict, comme il prend le contrôle du noyau iOS, il peut tout faire sur votre smartphone.
- CronRAT ciblait les serveurs sous Linux hébergeant des sites Web de e-commerce. Son but était de siphonner les coordonnées bancaires saisis par les clients du site, avant qu’elles ne soient chiffrées.
- CrossRAT est un cheval de Troie tournant sur ordi Windows, OSX et Linux. Il permet de manipuler les fichiers, prendre des photos de l’écran, installer un autre malware et s’implanter durablement sur l’appareil infecté.
C’est une invasion de RATs …
Webographie
- Cet article est inspiré de celui de Norton https://fr.norton.com/blog/malware/remote-access-trojan
- CapraRAT sur mobile Android en long, en large et en travers https://www.01net.com/actualites/nouvelles-versions-malware-caprarat-cherchent-espionner-smartphones-android.html
- Vous prendrez bien une petite Coruna avec votre iPhone ? https://www.phonandroid.com/ce-malware-extremement-dangereux-peut-prendre-le-controle-total-de-votre-iphone.html
- CronRAT utilise plusieurs techniques pour se rendre invisible aux analyses des antivirus et pare-feux https://anpt.dz/bulletins-veille/489
- CrossRAT described in details in english https://www.jamf.com/blog/analyzing-crossrat/