Sign up to save your podcasts
Or
Share Qu’est-ce que ResolverRAT, le virus qui passe inaperçu ?
Share to email
Share to Facebook
Share to X
Share to email
Share to Facebook
Share to X
Or
Qu’est-ce que ResolverRAT, le virus qui passe inaperçu ?
C’est une menace qui se fait discrète… trop discrète. Détecté en mars dernier par les chercheurs de Morphisec, ResolverRAT fait partie de ces malwares capables d’accéder à distance à une machine infectée, d’en extraire des fichiers ou d’exécuter des commandes. Un fonctionnement classique pour un RAT, un Remote Access Trojan. Mais ce qui le rend redoutable, c’est sa manière de passer sous les radars. ResolverRAT ne s’installe pas vraiment. Il s’exécute uniquement en mémoire, sans jamais écrire de fichier sur le disque dur, ni modifier de programme existant. Résultat : les antivirus classiques et même les systèmes EDR (Endpoint Detection and Response), pourtant plus évolués, peinent à le repérer.
Le vecteur d’infection reste le bon vieux phishing, avec une recrudescence dans le secteur de la santé. Les victimes reçoivent un e-mail contenant une archive. À l’intérieur : un programme tiers légitime, hpreader.exe, signé et valide – déjà utilisé dans d'autres campagnes malveillantes – et une bibliothèque corrompue. À l’exécution, le programme charge cette DLL malicieuse sans poser de question. Et l’infection débute. Le code s’exécute alors directement dans la mémoire vive, en détournant un mécanisme du framework .NET pour y injecter ses propres modules. Une architecture complexe : composants chiffrés, chaînes masquées, présence furtive dans le registre Windows, et surtout, une capacité à communiquer via des connexions chiffrées sans dépendre des certificats de la machine. Les données extraites sont morcelées en blocs de 16 Ko, évitant ainsi toute alerte liée à une consommation anormale de bande passante.
Morphisec a observé des variantes du malware dans de nombreuses langues : italien, hindi, tchèque, turc, portugais, indonésien… Les indices laissent penser à une opération internationale, avec une infrastructure rappelant d’autres familles bien connues comme Rhadamanthys ou Lumma. Mais ici, il s’agirait d’une souche inédite, construite sur mesure pour l’invisibilité. Face à une menace aussi furtive, les outils classiques sont dépassés. La meilleure défense reste la prévention. Ne cliquez pas sur des fichiers inattendus. Méfiez-vous des messages urgents. Vérifiez systématiquement l’identité de l’expéditeur. Même en 2025, ces réflexes restent vos meilleurs alliés contre des menaces de plus en plus sophistiquées.
Hébergé par Acast. Visitez acast.com/privacy pour plus d'informations.
View all episodes
By Choses à Savoir
4.7
33 ratings
C’est une menace qui se fait discrète… trop discrète. Détecté en mars dernier par les chercheurs de Morphisec, ResolverRAT fait partie de ces malwares capables d’accéder à distance à une machine infectée, d’en extraire des fichiers ou d’exécuter des commandes. Un fonctionnement classique pour un RAT, un Remote Access Trojan. Mais ce qui le rend redoutable, c’est sa manière de passer sous les radars. ResolverRAT ne s’installe pas vraiment. Il s’exécute uniquement en mémoire, sans jamais écrire de fichier sur le disque dur, ni modifier de programme existant. Résultat : les antivirus classiques et même les systèmes EDR (Endpoint Detection and Response), pourtant plus évolués, peinent à le repérer.
Le vecteur d’infection reste le bon vieux phishing, avec une recrudescence dans le secteur de la santé. Les victimes reçoivent un e-mail contenant une archive. À l’intérieur : un programme tiers légitime, hpreader.exe, signé et valide – déjà utilisé dans d'autres campagnes malveillantes – et une bibliothèque corrompue. À l’exécution, le programme charge cette DLL malicieuse sans poser de question. Et l’infection débute. Le code s’exécute alors directement dans la mémoire vive, en détournant un mécanisme du framework .NET pour y injecter ses propres modules. Une architecture complexe : composants chiffrés, chaînes masquées, présence furtive dans le registre Windows, et surtout, une capacité à communiquer via des connexions chiffrées sans dépendre des certificats de la machine. Les données extraites sont morcelées en blocs de 16 Ko, évitant ainsi toute alerte liée à une consommation anormale de bande passante.
Morphisec a observé des variantes du malware dans de nombreuses langues : italien, hindi, tchèque, turc, portugais, indonésien… Les indices laissent penser à une opération internationale, avec une infrastructure rappelant d’autres familles bien connues comme Rhadamanthys ou Lumma. Mais ici, il s’agirait d’une souche inédite, construite sur mesure pour l’invisibilité. Face à une menace aussi furtive, les outils classiques sont dépassés. La meilleure défense reste la prévention. Ne cliquez pas sur des fichiers inattendus. Méfiez-vous des messages urgents. Vérifiez systématiquement l’identité de l’expéditeur. Même en 2025, ces réflexes restent vos meilleurs alliés contre des menaces de plus en plus sophistiquées.
Hébergé par Acast. Visitez acast.com/privacy pour plus d'informations.
More shows like Choses à Savoir TECH
View all
Nouveau monde
6 Listeners
Louis French Lessons
340 Listeners
Tech&Co, la quotidienne
12 Listeners
Choses à Savoir - Culture générale
74 Listeners
Choses à Savoir SCIENCES
24 Listeners
Choses à Savoir SANTE
20 Listeners
Choses à Savoir HISTOIRE
22 Listeners
Pourquoi donc ?
23 Listeners
Maintenant, vous savez
11 Listeners
Parler anglais
9 Listeners
Choses à Savoir GASTRONOMIE
6 Listeners
Incroyable !
9 Listeners
Choses à Savoir ÉCONOMIE
6 Listeners
La base
5 Listeners
Choses à Savoir CERVEAU
2 Listeners
Affaires de business
3 Listeners
Monde Numérique (Actu Tech)
5 Listeners
Apprendre l'anglais avec l'actu
2 Listeners
Choses à Savoir ART
1 Listeners
dodo - Sons de la nature et bruit blanc
4 Listeners
Real Life French
138 Listeners
La rumeur
3 Listeners
Choses à Savoir ACTU
6 Listeners
Cosmique
0 Listeners
Le coin philo
0 Listeners
Franc-parler
3 Listeners
Préhistoire - La grande aventure humaine
0 Listeners