Le RAT Imminent Monitor (IM-RAT) a été démantelé

Le RAT (Outils d’administration à distance) Imminent Monitor (IM-RAT) est apparu pour la première fois en 2012. C’est le fruit du travail d’un développeur qui se fait appelé “Shockwave“, selon les chercheurs de la division Unit 42 de Palo Alto Networks. Le RAT a été vendu par une compagnie nommée “Imminent Methods“.

Il a été présenté comme étant ‘l’outils d’administration à distance le plus rapide créé à l’aide d’une nouvelle technologie de socket qui n’a jamais été utilisé auparavant’. Unit 42 a déclaré que Imminent Monitor offrait un accès à distance complet. Cela incluait la possibilité d’accéder aux fichiers, aux processus, au gestionnaire Windows, au registre de Windows et au presse-papier, ainsi que la capacité d’exécuter des commandes depuis la barre de commande. Chaque client payait 25 dollars (22,50€) pour utiliser ce service.

Qu’est-ce qu’un RAT?

Un outil d’administration à distance, plus connu sous son nom anglais Remote administration tool ou son abréviation RAT, est un logiciel informatique permettant la prise de contrôle à distance d’un ordinateur.

Le RAT n’est pas forcement un virus. C’est un programme tout à fait légitime lorsqu’il est utilisé pour assurer la gestion à distance d’un serveur ou le dépannage à distance d’un ordinateur personnel. Mais un RAT peut aussi être utilisé à des fins malveillantes, lorsqu’il est exploité par un pirate pour s’introduire dans un ordinateur à l’insu de son propriétaire.

Shockwave a affirmé que Imminent Monitor était un simple utilitaire d’accès à distance mais les chercheurs d’Unit 42 ont remarqué que certaines fonctionnalités contredisaient cette assertion. Par exemple, l’un des plugins du RAT permet aux utilisateurs d’éteindre le voyant lumineux de la webcam pendant qu’elle filme.

Une autre versions (3.0) d’Imminent Monitor présentait la possibilité d’exécuter un mineur de cryptomonnaie sur la machine de la victime. Il y’avait aussi un keylogger chiffré qui camouflait ses activités.

“Un chiffreur permettant à un client d’être indétectable n’a qu’un seul objectif, essayer d’échapper à la détection d’un antivirus,” selon une analyse de Unit 42.

“Imminent Methods n’est pas responsable de l’utilisation que vous faites de nos services,” peut-on lire sur un avertissement accompagnant le RAT. “Les services vendus sur ce site sont destinés à une opération personnelle et devrait seulement être utilisé sur vos propres machines ou sur les machines pour lesquelles vous avez une autorisation.”

Imminent Monitor semble venir d’Australie

Dans son enquête, Unit 42 a découvert plusieurs indices qui liaient Shockwave à l’Australie.

L’infrastructure d’Imminent Monitor indiquait une certaine préférence pour les hébergeurs Australiens. Le compte Twitter, “imminentmethods”, inclut une géolocalisation indiquant Queensland en Australie et la page de contact du site internet “imminentmethods[.]net” avait un numéro de téléphone et un fuseau horaire Australien, ainsi qu’une adresse se trouvant à New South Wales en Australie.

imminent monitor

Ce démantelement est le résultat d’une opération menée par la police fédérale Australienne. Cependant, Europol, le FBI, le régulateur de télécommunication Canadien et la Colombie ont tous apporté leur contribution.

Europol a annoncé que des perquisitions avaient été effectué en Australie et en Belgique en Juin 2019 chez le développeur et l’un des employés d’Imminent Methods.

“Des actions ont été mené en Novembre pour démanteler l’infrastructure d’Imminent Monitor et arrêté 13 utilisateurs prolifiques,” a déclaré l’agence. “Plus de 430 appareils ont été saisi et l’analyse de ces appareils est encore en cours.”

Imminent Monitor a été vastement distribué. Palo Alto Networks a collecté plus de 65 000 échantillons et a remarqué plus de 115 000 attaques contre ses clients.

L’enquête Australienne n’a pas seulement visé les développeurs d’Imminent Monitor mais aussi les clients qui utilisent le logiciel malveillant. Ils ont désactivé toutes les licences et les clients ne peuvent donc plus utiliser le RAT.

Ce qui est inquiétant c’est que les autorités australiennes ont remarqué qu’un nombre important d’utilisateurs d’Imminent Monitor avait été accusé de violences conjugales et avaient des ordonnances restrictives.

Si cet article vous a plu, jetez un œil à notre article précédent.

S’abonner
Notifier de
guest
0 Commentaires
Inline Feedbacks
View all comments
0
Would love your thoughts, please comment.x
()
x