Attention, un nouveau fléau numérique, le virus ResolverRAT, fait des ravages à l’échelle mondiale. Ce dangereux malware vise particulièrement les entreprises du secteur de la santé et de la pharmacie à travers des emails de phishing redoutablement ciblés. À l’issue de ces attaques, toutes les données des ordinateurs infectés se retrouvent entre les mains des pirates.
Les experts en sécurité de Morphisec Threat Labs ont découvert ce virus sophistiqué qui s’attaque aux organisations à travers le globe. Surnommé ResolverRAT, ce malware fonctionne comme un cheval de Troie avec accès à distance. Sous l’apparence d’un programme inoffensif, le logiciel malveillant offre aux cybercriminels la possibilité de prendre le contrôle des ordinateurs infectés à distance.
À lire aussi : l’arnaque au faux conseiller bancaire évolue – un pirate vient désormais chez vous pour voler votre carte
Phishing et vol de données : une menace mondiale
Dans la majorité des cas détectés par Morphisec Threat Labs, le virus se propage à travers des emails de phishing. Les employés des entreprises ciblées reçoivent des emails évoquant des infractions légales ou des violations de droit d’auteur. Ces messages, soigneusement conçus, suscitent la curiosité des cibles tout en atténuant leur méfiance. Les « thèmes alarmants » utilisés sont spécialement calibrés pour provoquer une réaction de la part des salariés des industries ciblées. Les chercheurs ont identifié des similitudes avec d’autres campagnes de phishing qui propagent des malwares tels que Rhadamanthys et Lumma.
Le mail infecté contient un exécutable d’un logiciel HP (Hewlett-Packard). Ce fichier installe le ResolverRAT dans la mémoire de l’ordinateur. Une fois infiltré dans le système, le virus déploie une série de tactiques pour rester indétectable. Par exemple, il duplique ses propres fichiers dans plusieurs répertoires utilisés par Windows pour l’exécution automatique des programmes au démarrage, ou pour le stockage d’applications, tels que les dossiers « Démarrage », « Program Files » ou « LocalAppData ».
De plus, il exfiltre toutes les données stockées sur l’ordinateur. Pour passer inaperçu, ResolverRAT fragmente les fichiers de plus de 1 Mo en petits morceaux de 16 Ko, se fondant ainsi dans le trafic Internet habituel de l’ordinateur infecté. En conséquence, il parvient à transférer des données vers des serveurs distants sans être détecté.
À lire aussi : Plus de la moitié des cyberattaques « commencent dans votre boîte de réception »
Une attaque ciblée sur le secteur de la santé
ResolverRAT cible principalement les organisations des secteurs de la santé et de la pharmacie. Les chercheurs n’ont pas encore dévoilé publiquement les noms des victimes de ce malware. De plus en plus de cybercriminels s’attaquent au secteur de la santé, visant les hôpitaux ou les cliniques pour obtenir des données médicales sensibles. Ces entités sont souvent prêtes à payer une rançon pour éviter que ces informations ne soient divulguées sur le dark web. Selon Dirk Shrader, chercheur principal chez Netwrix, il est probable que les cybercriminels aient identifié une faille à l’échelle de l’industrie de la santé et de la pharmacie :
« Les attaques de logiciels malveillants organisées contre le secteur de la santé et les entreprises pharmaceutiques suggèrent fortement que le groupe APT utilisant ResolverRAT a identifié une vulnérabilité systémique propre à cette industrie. Ces secteurs doivent naviguer dans un paysage réglementaire complexe, allant de la protection de la propriété intellectuelle à la confidentialité des données, en passant par les exigences en matière de santé publique. »
Les experts du Morphisec Threat Labs précisent que le mail de phishing initial est disponible en plusieurs langues, dont l’italien, le tchèque, le hindi, le turc et le portugais. C’est pourquoi les chercheurs parlent d’une « opération à portée mondiale ». Les cybercriminels semblent vouloir « maximiser les taux d’infection grâce à un ciblage adapté ». La plus récente vague d’attaques a été observée le 10 mars 2025, précise le rapport. Les auteurs de cette cyberattaque restent inconnus.
« Pour contrer ces menaces, les organisations doivent mettre en place une gestion rigoureuse des privilèges. Un utilisateur ne devrait pas être autorisé à installer un logiciel ou à exécuter un fichier sans contrôle. Si une nouvelle application est requise, un processus défini doit être mis en place pour en autoriser l’installation. Ces mesures préventives empêchent les utilisateurs de compromettre involontairement la sécurité de l’entreprise, tout en leur permettant de remplir leurs fonctions principales. Bien entendu, des actions de sensibilisation sont essentielles, mais le stress et l’urgence sont les ennemis de la vigilance. C’est pourquoi la suppression des privilèges inutiles, tels que les droits d’administrateur local sur les terminaux, reste l’un des moyens les plus efficaces de réduire le risque d’installation de malwares. », recommande Dirk Shrader.
Restez toujours à la pointe avec nous et découvrez pourquoi notre blog est la référence incontournable des amateurs de gadgets et de technologie.