Une campagne de cybermenace sophistiquée est actuellement en cours de distribution de NarwhalRAT, un logiciel malveillant avancé basé sur Python, via des e-mails de spear-phishing ciblés. Ces e-mails imitent des notifications de sécurité urgentes de l’équipe officielle de Microsoft, avertissant les destinataires d’activités inhabituelles liées aux mots de passe à usage unique. Le “conseil de sécurité” joint est en réalité un fichier de raccourci malveillant contenu dans une archive compressée. Une fois ouvert, il déclenche un processus d’infection en plusieurs étapes conçu pour contourner les systèmes de sécurité conventionnels. Les commandes du fichier de raccourci sont fortement obscurcies, rendant leur détection difficile. Après avoir établi une présence sur le système, NarwhalRAT se connecte à un réseau de commande et de contrôle pour recevoir des instructions et exfiltrer des données. Il utilise principalement des sites web régionaux compromis pour ses communications, mais recourt également au stockage pCloud comme canal secondaire. Ce canal agit comme un résolveur de dépôt mort, dissimulant les véritables emplacements des serveurs des attaquants. NarwhalRAT est optimisé pour l’espionnage, capable d’enregistrer les frappes au clavier, de capturer des écrans, d’enregistrer le microphone et de voler des données USB, tout en ciblant spécifiquement les fenêtres actives. Les tactiques de ce logiciel malveillant rappellent celles utilisées par le groupe de hackers nord-coréen APT37. Les experts en sécurité recommandent de surveiller une utilisation inhabituelle de la mémoire par le runtime Python pour contrer ces attaques furtives.
Comment les hackers utilisent-ils les alertes Microsoft pour diffuser le malware NarwhalRAT ?
