Le monde de la cybercriminalité ne cesse d’évoluer avec l’apparition de nouveaux malwares sophistiqués. Le dernier en date, WISE REMOTE, a été récemment mis en lumière par les experts en cybersécurité de CYFIRMA. Conçu comme un service malveillant (MaaS, Malware-as-a-Service) disponible sur le darknet, il se distingue par sa capacité à se transformer en infostealer, RAT, bot DDoS et ransomware. En quelques semaines seulement, plus de 1000 victimes ont été touchées. Cette menace multifonctionnelle, particulièrement visée sur les systèmes Windows, suscite une préoccupation majeure dans le monde de la cybersécurité.
Aussi sinistre que polyvalent, WISE REMOTE est un malware particulièrement pernicieux découvert récemment sur des forums de pirates informatiques [preuve qu’ils ne sont pas si pro que ça, NDR]. Il est constamment amélioré par ses développeurs qui en assurent la promotion à travers des preuves d’efficacité diffusées sur Discord et Telegram.
Cet infostealer, dont le code est écrit en Go, est également compatible avec les langages de programmation C++, C# et Python, ce qui démontre son niveau d’adaptabilité.
Il s’attaque principalement aux systèmes d’exploitation Windows, notamment les versions 8, 10 et 11. Pour se soustraire aux systèmes de détection d’antivirus, WISE REMOTE utilise une panoplie d’astuces ingénieuses, et chiffré toutes les communications avec son serveur C2 basé en Suisse.
Couteau Suisse de la malveillance
Il s’agit d’un véritable ‘couteau suisse’ du malware, qui sait à la fois collecter des informations système, créer un shell inversé, télécharger et exécuter des fichiers supplémentaires, extraire des informations sensibles des navigateurs, voler des données de portefeuilles de cryptomonnaie, interagir avec des sites web sans consentement, capturer des écrans, et même modifier des journaux système pour masquer son activité malveillante.
Grâce à son tableau de bord sophistiqué, l’opérateur de WISE REMOTE peut surveiller jusqu’à 10 000 ordinateurs infectés simultanément et donner des instructions générales, notamment pour déclencher une attaque DDoS.
À l’heure actuelle, WISE REMOTE Stealer dispose des fonctionnalités suivantes :
Collecte d’informations système et création d’un shell inversé ;
Téléchargement et exécution de fichiers supplémentaires ;
Extraction d’informations à partir des navigateurs (mots de passe enregistrés, cookies, données de cartes bancaires, favoris, historique de navigation, liste des extensions) ;
Vol de données à partir de portefeuilles de cryptomonnaie ;
Ouverture de sites web et interaction avec eux sans le consentement de la victime ;
Capture d’écran ;
Téléchargement de fichiers dans le dossier AppData ;
Création et personnalisation d’agents malveillants ou de modules pour mener des attaques ciblées ;
Modification des journaux système, suppression d’enregistrements pour masquer l’activité malveillante.
Le tableau de bord permet de surveiller jusqu’à 10 000 ordinateurs infectés. L’opérateur a également la possibilité de donner des instructions générales, par exemple, pour effectuer une attaque DDoS ou d’autres actions malveillantes.
Le malware est écrit en Go, bien que les développeurs utilisent également C++, C# et Python. WISE REMOTE vise principalement les systèmes Windows (versions 8, 10 et 11). Diverses astuces sont utilisées pour contourner les antivirus, et les communications avec le serveur C2 (basé en Suisse) sont chiffrées.
Les modules côté client sont importés via le cloud, les données volées sont enregistrées sur le disque (dans le dossier /temp) et effacées après l’envoi. Le builder fourni aux abonnés permet de personnaliser les icônes (adaptées aux méthodes de distribution du malware choisies et à la chaîne d’infection) ; les versions finales pèsent généralement moins de 100 Ko.