Un nouveau virus du nom de ResolverRAT se propage dans le monde entier. Le malware piège les entreprises du secteur de la santé et de la pharmacie avec des mails de phishing calibrés. Au terme de l’attaque, il orchestre le vol de toutes les données de l’ordinateur infecté.
Les chercheurs de Morphisec Threat Labs ont débusqué un nouveau virus à l’assaut d’organisations situées dans le monde entier. Baptisé ResolverRAT, le malware est un cheval de Troie avec accès à distance. Déguisé en programme inoffensif, le logiciel malveillant permet à un pirate informatique de prendre le contrôle à distance d’un ordinateur infecté.
Phishing et vol de données à grande échelle
Dans la plupart des attaques recensées par Morphisec Threat Labs, le virus se propage par le biais de mail de phishing. Les employés des entreprises visées reçoivent un courriel évoquant des violations légales ou du droit d’auteur. Ces motifs sont susceptibles d’éveiller la curiosité des cibles et d’endormir leur méfiance. Les « thèmes alarmants » utilisés sont spécifiquement calibrés pour provoquer les réactions des salariés des industries visées.
Les chercheurs ont découvert plusieurs similitudes avec les campagnes de phishing propageant des maliciels comme Rhadamanthys et Lumma.
Le mail piégé contient un exécutable pour un logiciel HP (Hewlett-Packard). Ce fichier va implanter ResolverRAT dans la mémoire de l’ordinateur. Une fois dans le système, le virus va utiliser une série de tactiques pour rester indétectable. Par exemple, il copie ses propres fichiers dans plusieurs répertoires utilisés par Windows pour lancer automatiquement des programmes au démarrage, ou pour stocker des applications, comme les dossiers « Démarrage », « Program Files » ou « LocalAppData ».
Surtout, il va exfiltrer toutes les données stockées sur l’ordinateur.
Pour rester discret, ResolverRAT va découper les fichiers de plus de 1 Mo en petits morceaux de 16 Ko pour passer inaperçu et se fondre dans le trafic Internet habituel en provenance de l’ordinateur infecté. De facto, il est capable de transférer des données sur des serveurs à distance sans se faire repérer.
Une « opération à portée mondiale »
ResolverRAT cible essentiellement les organisations des secteurs de la santé et de la pharmacie. Les chercheurs n’ont pas divulgué publiquement le nom des victimes du malware. De plus en plus de pirates s’attaquent au monde de la santé, en visant des hôpitaux ou des cliniques, dans l’espoir de collecter des données médicales sensibles. Ces entités sont plus susceptibles de verser une rançon pour éviter la fuite des informations sur le dark web.
Les experts du Morphisec Threat Labs précisent uniquement que le mail de phishing initial est décliné en plusieurs langues, dont en italien, en tchèque, en hindi, en turc, et en portugais.
C’est pourquoi les chercheurs parlent d’une « opération à portée mondiale ». Les cybercriminels cherchent vraisemblablement à « maximiser les taux d’infection grâce à un ciblage adapté ». La plus récente vague d’attaques a été observée le 10 mars 2025, indique le rapport. On ignore qui sont les hackers à l’origine de la cyberattaque.
: Morphisec
