Russian hackers trojanize WebEx, Zoom apps to push Starland malware
Mis à jour :
Menace Starland RAT : Campagne de logiciels piratés par le groupe UAT-11795
Le groupe cybercriminel russe UAT-11795 mène depuis juin 2025 une campagne d’ampleur ciblant principalement les États-Unis via la distribution de logiciels légitimes piégés (WebEx, Zoom, MobaXterm, DBeaver, FaceIT). Cette opération déploie le nouveau cheval de Troie d’accès distant (RAT) nommé Starland, capable de dérober des identifiants, des cryptomonnaies et des données sensibles.
Points clés :
- Vecteur d’attaque : Utilisation probable de la technique « ClickFix » via des fichiers HTA téléchargeant des installeurs NSIS modifiés contenant un chargeur Python.
- Starland RAT : Malware sophistiqué doté de mécanismes d’évasion (détection de sandbox), de persistance (tâches planifiées) et d’exfiltration complète (données de navigation, portefeuilles crypto, Active Directory, captures d’écran).
- Charge utile secondaire : Le RAT déploie également les malwares CastleStealer (vol de données) et Remcos RAT (contrôle à distance complet).
- Infrastructure C2 avancée : Utilisation d’un framework PowerShell sur mesure baptisé « WLDR » et intégration d’un mécanisme de secours via un contrat intelligent Polygon en cas de coupure des serveurs de commande.
Vulnérabilités :
- Aucune CVE spécifique n’est mentionnée ; l’attaque repose sur l’ingénierie sociale et l’exécution de code malveillant via des installeurs contrefaits.
Recommandations :
- Téléchargements : Se fournir exclusivement sur les portails officiels des éditeurs de logiciels.
- Vigilance utilisateur : Ne jamais exécuter de commandes ou de scripts trouvés en ligne sans en comprendre parfaitement le fonctionnement.
- Défense proactive : Intégrer les indicateurs de compromission (IoC) fournis dans le rapport technique de Cisco Talos au sein des outils de sécurité (SIEM/EDR) pour détecter les tentatives d’infection.
