Une nouvelle version du malware GravityRAT a été identifiée

Des chercheurs de Cisco Talos ont identifié l'utilisation d'une nouvelle version de GravityRAT, un outil d'accès à distance (Remote Access Tool). De nouvelles fonctionnalités ont été ajoutées à ce malware au cours des 18 derniers mois. Avec cet outil, il est désormais possible d'exfiltrer des fichiers et d'exécuter des commandes à distance. Par ailleurs, le malware implémente des techniques d'évasion le rendant inactif dans des environnements de machines virtuelles. L'équipe CERT de l'Inde a identifié l'utilisation de GravityRAT dans des attaques ciblées contre des organisations indiennes.

GravityRAT se propage via des documents Word malveillants contenant des macros exécutant du code sur la machine de la victime dans le but d'installer le malware et de planifier son exécution journalière. Les chercheurs ont découvert quatre versions distinctes de GravityRAT. La dernière variante, créée en décembre 2017, est dotée de nouvelles fonctionnalités telles que la détermination des ports ouverts sur le système de la victime en exécutant la commande netstat et diverses techniques d'identification des machines virtuelles.