Maliciel MostereRAT

Quel type de logiciel malveillant est MostereRAT ?

MostereRAT est un cheval de Troie d'accès à distance écrit en langage de programmation facile (EPL). Il peut être étendu avec de nouvelles capacités, délivrer des charges utiles supplémentaires, extraire des informations sensibles et employer des techniques d'évasion. Si le système est infecté par MostereRAT, un scan à l'aide d'un outil de sécurité fiable doit être effectué dès que possible afin d'éliminer la menace.

Maliciel MostereRAT

En savoir plus sur MostereRAT

Une fois exécuté, MostereRAT déchiffre et charge sa charge utile en plusieurs étapes. Le logiciel malveillant comporte deux modules principaux : l'un pour la persistance, l'escalade des privilèges, l'évasion antivirus et la livraison de la charge utile, et l'autre pour les opérations RAT et les communications C2.

Le logiciel malveillant gagne en persistance en créant des tâches planifiées (« winrshost » et « winresume ») et un service (« DnsNetwork ») qui relancent automatiquement le code malveillant. Ceux-ci sont configurés pour s'exécuter sous le compte SYSTEM. Cela garantit que le logiciel malveillant continue de s'exécuter au démarrage du système et à la connexion de l'utilisateur.

De plus, MostereRAT peut s'exécuter sous un compte « TrustedInstaller », ce qui lui permet de modifier les fichiers système protégés, les clés de registre et les paramètres de sécurité. Il peut également installer des outils d'accès à distance légitimes, tels que AnyDesk et TightVNC, sur les appareils infectés, permettant ainsi aux attaquants de prendre le contrôle total des systèmes à distance.

De plus, MostereRAT est conçu pour interférer avec les solutions antivirus (AV) et de détection et de réponse aux incidents (EDR). Il peut vérifier si des outils de sécurité tels que 360, AVG, Avira, Avast, ESET, Huorong, Kingsoft, Malwarebytes, Tencent, Windows Defender et autres sont présents. S'il en trouve, il bloque le trafic réseau de l'outil afin d'empêcher le logiciel de sécurité d'envoyer des alertes, des journaux ou d'autres données à ses serveurs.

Le logiciel malveillant désactive la sécurité Windows en arrêtant les processus et services de sécurité clés, en supprimant des fichiers système importants, en supprimant les tâches planifiées et en empêchant l'exécution des mises à jour et des fonctionnalités de protection. De plus, MostereRAT prend en charge diverses commandes.

Il peut envoyer des commandes à son serveur de commande et de contrôle et collecter des informations détaillées sur l'appareil infecté. Il peut également envoyer et exécuter des fichiers EPK à l'aide d'un lanceur EPK, des fichiers DLL à l'aide de rundll32 et des fichiers EXE. De plus, le logiciel malveillant peut envoyer et charger des fichiers shellcode ou EXE directement dans la mémoire pour les exécuter.

MostereRAT peut télécharger et exécuter des fichiers EPK, DLL ou EXE, et il peut lire, écrire et supprimer des fichiers spécifiques dans le répertoire « Database ». Il peut charger et exécuter des charges utiles EXE à partir de serveurs C2 et injecter des fichiers EXE téléchargés dans svchost.exe. Le logiciel malveillant peut mettre fin aux outils de surveillance et de gestion à distance, lancer TightVNC ou Xray, et arrêter les applications Xray et TightVNC.

Il peut également créer de nouveaux comptes administrateur tout en les masquant de l'écran de connexion, activer ou désactiver la connexion à plusieurs sessions, charger des fichiers de configuration et lancer AnyDesk tout en masquant sa fenêtre. De plus, MostereRAT peut envoyer des messages pour éteindre le moniteur, lancer des programmes en mode caché, énumérer les utilisateurs du système et prendre des captures d'écran.

Dans l'ensemble, les auteurs de menaces derrière MostereRAT peuvent infecter les systèmes avec d'autres logiciels malveillants (par exemple, ransomware), voler des informations sensibles (par exemple, des identifiants de connexion) et les utiliser à des fins malveillantes, et effectuer diverses autres actions.

Résumé des menaces :
Nom	Cheval de Troie d'accès à distance MostereRAT
Type de menace	Cheval de Troie d'accès à distance (RAT)
Noms de détection	Avast (Win32:MalwareX-gen [Trj]), Combo Cleaner (Gen:Variant. Midie.171615), ESET-NOD32 (A Variant Of Win32/RA-based.NMR), Kaspersky (HEUR:Trojan.Win32.Reconyc.gen), Microsoft (Trojan:Win32/Alevaul!rfn), Liste complète (VirusTotal)
Symptômes	Les chevaux de Troie d'administration à distance sont conçus pour infiltrer discrètement l'ordinateur de la victime et rester silencieux. Aucun symptôme particulier n'est donc clairement visible sur une machine infectée.
Méthodes de distribution	Pièces jointes infectées, sites Web malveillants, fichiers infectés, ingénierie sociale.
Dommages	Vol de mots de passe et d'informations bancaires, usurpation d'identité, ajout de l'ordinateur de la victime à un botnet, infections supplémentaires, pertes financières.
Suppression des maliciels (Windows)	Pour éliminer d'éventuelles infections par des maliciels, analysez votre ordinateur avec un logiciel antivirus légitime. Nos chercheurs en sécurité recommandent d'utiliser Combo Cleaner. Téléchargez Combo Cleaner Un scanner gratuit vérifie si votre ordinateur est infecté. Pour utiliser le produit complet, vous devez acheter une licence pour Combo Cleaner. 7 jours d’essai limité gratuit disponible. Combo Cleaner est détenu et exploité par RCS LT, la société mère de PCRisk.

Conclusion

MostereRAT est un logiciel malveillant très performant et dangereux qui fournit aux pirates un accès persistant, furtif et étendu aux systèmes compromis, leur permettant de voler des données sensibles, de déployer d'autres logiciels malveillants et d'utiliser le système infecté à d'autres fins malveillantes.

Voici quelques exemples d'autres RAT : ZynorRAT, kkRAT et GodRAT.

Comment MostereRAT s'est-il infiltré dans mon ordinateur ?

Les cybercriminels à l'origine de cette campagne envoient des e-mails d'apparence légitime (imitant souvent des demandes commerciales) pour inciter les destinataires à visiter un site web malveillant. Une fois sur le site, un fichier est automatiquement téléchargé (ou peut être téléchargé manuellement) sur l'ordinateur de la victime.

Le fichier téléchargé est un document Word contenant une archive intégrée. La victime est invitée à ouvrir l'archive et à exécuter le fichier unique (un exécutable malveillant) qu'elle contient. Cet exécutable contient les outils nécessaires à MostereRAT pour infiltrer les systèmes.

Comment éviter l'installation de logiciels malveillants ?

Téléchargez des programmes et des fichiers uniquement à partir de sites officiels ou de boutiques d'applications fiables. Maintenez votre système d'exploitation et vos applications à jour, et utilisez un logiciel de sécurité fiable. Méfiez-vous des e-mails ou des messages provenant de sources inconnues, en particulier s'ils contiennent des liens ou des pièces jointes.

Évitez d'interagir avec le contenu (par exemple, les liens, les boutons ou les publicités) de sites web douteux, et n'autorisez jamais ce type de sites à vous envoyer des notifications. Si vous pensez que votre ordinateur est déjà infecté, nous vous recommandons d'effectuer une analyse avec Combo Cleaner Antivirus pour Windows afin d'éliminer automatiquement les logiciels malveillants infiltrés.

E-mail malveillant contenant un lien distribuant MostereRAT (source : fortinet.com) :

E-mail distribuant MostereRAT

Site web distribuant le logiciel malveillant (source : fortinet.com) :

Site web distribuant MostereRAT

Document distribuant MostereRAT (source : fortinet.com) :

Document distribuant MostereRAT

Suppression automatique et instantanée des maliciels :

La suppression manuelle des menaces peut être un processus long et compliqué qui nécessite des compétences informatiques avancées. Combo Cleaner est un outil professionnel de suppression automatique des maliciels qui est recommandé pour se débarrasser de ces derniers. Téléchargez-le en cliquant sur le bouton ci-dessous :

TÉLÉCHARGEZ Combo Cleaner

En téléchargeant n'importe quel logiciel listé sur ce site web vous acceptez notre Politique de Confidentialité et nos Conditions d’Utilisation. Pour utiliser le produit complet, vous devez acheter une licence pour Combo Cleaner. 7 jours d’essai limité gratuit disponible. Combo Cleaner est détenu et exploité par RCS LT, la société mère de PCRisk.

Menu rapide :

Qu'est-ce que MostereRAT ?
ÉTAPE 1. Suppression manuelle du malware MostereRAT.
ÉTAPE 2. Vérifiez si votre ordinateur est propre.

Comment supprimer manuellement un logiciel malveillant ?

La suppression manuelle des logiciels malveillants est une tâche complexe. Il est généralement préférable de laisser les programmes antivirus ou anti-malware s'en charger automatiquement. Pour supprimer ce logiciel malveillant, nous vous recommandons d'utiliser Combo Cleaner Antivirus pour Windows.

Si vous souhaitez supprimer manuellement un logiciel malveillant, la première étape consiste à identifier le nom du logiciel malveillant que vous essayez de supprimer. Voici un exemple de programme suspect s'exécutant sur l'ordinateur d'un utilisateur :

Processus malveillant en cours d'exécution dans le Gestionnaire des tâches

Si vous avez vérifié la liste des programmes en cours d'exécution sur votre ordinateur, par exemple à l'aide du gestionnaire de tâches, et identifié un programme qui semble suspect, vous devez suivre les étapes suivantes :

étape de suppression manuelle des logiciels malveillants 1 Téléchargez un programme appelé Autoruns. Ce programme affiche les applications à démarrage automatique, le registre et les emplacements du système de fichiers :

Apparence de l'application Autoruns

étape de suppression manuelle des logiciels malveillants 2 Redémarrez votre ordinateur en mode sans échec :

Utilisateurs de Windows XP et Windows 7 : Démarrez votre ordinateur en mode sans échec. Cliquez sur Démarrer, puis sur Arrêter, puis sur Redémarrer, puis sur OK. Pendant le processus de démarrage de votre ordinateur, appuyez plusieurs fois sur la touche F8 de votre clavier jusqu'à ce que le menu Options avancées de Windows s'affiche, puis sélectionnez Mode sans échec avec réseau dans la liste.

Exécutez Windows 7 ou Windows XP en mode sans échec avec réseau

Vidéo montrant comment démarrer Windows 7 en « mode sans échec avec réseau » :

Utilisateurs Windows 8 : démarrez Windows 8 en mode sans échec avec réseau. Accédez à l'écran d'accueil de Windows 8, tapez « Avancé », puis sélectionnez « Paramètres » dans les résultats de recherche. Cliquez sur « Options de démarrage avancées », puis sélectionnez « Démarrage avancé » dans la fenêtre « Paramètres généraux du PC » qui s'ouvre.

Cliquez sur le bouton « Redémarrer maintenant ». Votre ordinateur redémarrera alors dans le « Menu des options de démarrage avancées ». Cliquez sur le bouton « Dépannage », puis sur le bouton « Options avancées ». Dans l'écran des options avancées, cliquez sur « Paramètres de démarrage ».

Cliquez sur le bouton « Redémarrer ». Votre PC redémarrera et affichera l'écran Paramètres de démarrage. Appuyez sur F5 pour démarrer en mode sans échec avec réseau.

Exécuter Windows 8 en mode sans échec avec réseau

Vidéo montrant comment démarrer Windows 8 en « mode sans échec avec réseau » :

Utilisateurs Windows 10 : cliquez sur le logo Windows et sélectionnez l'icône Alimentation. Dans le menu qui s'ouvre, cliquez sur « Redémarrer » tout en maintenant la touche « Maj » de votre clavier enfoncée. Dans la fenêtre « Choisissez une option », cliquez sur « Dépannage », puis sélectionnez « Options avancées ».

Dans le menu des options avancées, sélectionnez « Paramètres de démarrage » et cliquez sur le bouton « Redémarrer ». Dans la fenêtre suivante, appuyez sur la touche « F5 » de votre clavier. Cela redémarrera votre système d'exploitation en mode sans échec avec réseau.

Exécuter Windows 10 en mode sans échec avec réseau

Vidéo montrant comment démarrer Windows 10 en « mode sans échec avec réseau » :

étape de suppression manuelle des logiciels malveillants 3 Extrayez l'archive téléchargée et exécutez le fichier Autoruns.exe.

Extrayez l'archive Autoruns.zip et exécutez l'application Autoruns.exe.

étape de suppression manuelle des logiciels malveillants 4 Dans l'application Autoruns, cliquez sur « Options » en haut et décochez les options « Masquer les emplacements vides » et « Masquer les entrées Windows ». Après cette procédure, cliquez sur l'icône « Actualiser ».

Actualiser les résultats de l'application Autoruns

étape de suppression manuelle des logiciels malveillants 5 Consultez la liste fournie par l'application Autoruns et localisez le fichier malveillant que vous souhaitez éliminer.

Vous devez noter son chemin d'accès complet et son nom. Notez que certains logiciels malveillants masquent les noms des processus sous des noms de processus Windows légitimes. À ce stade, il est très important d'éviter de supprimer des fichiers système. Après avoir localisé le programme suspect que vous souhaitez supprimer, cliquez avec le bouton droit de la souris sur son nom et sélectionnez « Supprimer ».

Supprimer les logiciels malveillants dans Autoruns

Après avoir supprimé le logiciel malveillant à l'aide de l'application Autoruns (ceci garantit que le logiciel malveillant ne s'exécutera pas automatiquement au prochain démarrage du système), vous devez rechercher le nom du logiciel malveillant sur votre ordinateur. Veillez à activer les fichiers et dossiers cachés avant de continuer. Si vous trouvez le nom du fichier du logiciel malveillant, veillez à le supprimer.

Rechercher les logiciels malveillants et les supprimer

Redémarrez votre ordinateur en mode normal. Ces étapes devraient permettre de supprimer tous les logiciels malveillants de votre ordinateur. Notez que la suppression manuelle des menaces nécessite des compétences informatiques avancées. Si vous ne disposez pas de ces compétences, confiez la suppression des logiciels malveillants à des programmes antivirus et anti-malware.

Ces étapes peuvent ne pas fonctionner avec les infections par des logiciels malveillants avancés. Comme toujours, il vaut mieux prévenir l'infection que d'essayer de supprimer les logiciels malveillants par la suite. Pour protéger votre ordinateur, installez les dernières mises à jour du système d'exploitation et utilisez un logiciel antivirus. Pour vous assurer que votre ordinateur est exempt d'infections par des logiciels malveillants, nous vous recommandons de le scanner avec Combo Cleaner Antivirus pour Windows.

Foire aux questions (FAQ)

Mon ordinateur est infecté par le logiciel malveillant MostereRAT, dois-je formater mon périphérique de stockage pour m'en débarrasser ?

Il est possible de supprimer MostereRAT en effaçant le contenu du périphérique de stockage, mais dans la plupart des cas, il suffit d'effectuer une analyse complète à l'aide d'un outil fiable tel que Combo Cleaner pour détecter et éliminer le logiciel malveillant sans avoir à formater le périphérique, ce qui effacerait toutes les données.

Quels sont les principaux problèmes que peuvent causer les logiciels malveillants ?

Les logiciels malveillants peuvent être utilisés pour pirater des comptes personnels ou professionnels, causer des pertes financières, voler des identités, divulguer des données. Ils peuvent également ouvrir la porte à d'autres infections et endommager le système, notamment en cryptant des fichiers.

Quel est l'objectif de MostereRAT ?

L'objectif de MostereRAT est de permettre aux pirates de contrôler à distance et de manière persistante les systèmes infectés, afin de voler des données, de déployer d'autres logiciels malveillants, etc.

Comment MostereRAT s'est-il infiltré dans mon ordinateur ?

Les cybercriminels utilisent de faux e-mails professionnels pour attirer les victimes vers un site web malveillant, où un document se télécharge automatiquement. Ce document contient une archive avec un exécutable malveillant, qui contient les outils nécessaires à MostereRAT pour infecter le système.

Combo Cleaner me protège-t-il contre les logiciels malveillants ?

Oui, Combo Cleaner peut détecter et supprimer presque tous les logiciels malveillants connus. Cependant, les logiciels malveillants sophistiqués se cachent souvent profondément dans le système, il est donc essentiel d'effectuer une analyse complète du système.