Bio courte
Les Trojans d’accès à distance sont des programmes qui offrent la possibilité de permettre une surveillance secrète ou la possibilité d’obtenir un accès non autorisé à un PC victime. Les chevaux de Troie d’accès à distance imitent souvent les comportements similaires des applications keylogger en permettant la collecte automatique des frappes, des noms d’utilisateur, des mots de passe, des captures d’écran, de l’historique du navigateur, des e-mails, des lots de chat, etc. Les chevaux de Troie d’accès à distance diffèrent des enregistreurs de frappe en ce qu’ils permettent à un attaquant d’obtenir un accès à distance non autorisé à l’ordinateur de la victime via des protocoles de communication spécialement configurés qui sont mis en place lors de l’infection initiale de l’ordinateur de la victime. Cette porte dérobée dans la machine victime peut permettre à un attaquant un accès sans entrave, y compris la capacité de surveiller le comportement de l’utilisateur, de modifier les paramètres de l’ordinateur, de parcourir et de copier des fichiers, d’utiliser la bande passante (connexion Internet) pour une éventuelle activité criminelle, d’accéder à des systèmes connectés, et plus encore.
Histoire
Bien que l’histoire complète des chevaux de Troie d’accès à distance soit inconnue, ces applications sont utilisées depuis un certain nombre d’années pour aider les attaquants à prendre pied sur un PC victime. Les chevaux de Troie d’accès à distance les plus connus et les plus anciens sont les applications SubSeven, Back Orifice et Poison-Ivy. Ces programmes datent du milieu ou de la fin des années 1990 et on peut encore les voir utilisés à ce jour.
L’utilisation réussie de ces applications a conduit à la production d’un certain nombre d’applications différentes au cours des décennies suivantes. Alors que les entreprises de sécurité prennent conscience des tactiques utilisées par les chevaux de Troie d’accès à distance, les auteurs de logiciels malveillants font continuellement évoluer leurs produits pour essayer de déjouer les nouveaux mécanismes de détection.
Méthode d’infection courante
Les chevaux de Troie d’accès à distance peuvent être installés selon un certain nombre de méthodes ou de techniques, et seront similaires à d’autres vecteurs d’infection de logiciels malveillants. Des pièces jointes spécialement conçues, des liens Internet, des paquets de téléchargement ou des fichiers .torrent peuvent être utilisés comme mécanisme d’installation du logiciel. Des attaques ciblées menées par un attaquant motivé peuvent tromper les cibles souhaitées pour qu’elles installent un tel logiciel via des tactiques d’ingénierie sociale, ou même via un accès physique temporaire de l’ordinateur souhaité.
Familles associées
Il existe un grand nombre de chevaux de Troie d’accès à distance. Certains sont plus connus que d’autres. SubSeven, Back Orifice, ProRat, Turkojan et Poison-Ivy sont des programmes bien établis. D’autres, comme CyberGate, DarkComet, Optix, Shark et VorteX Rat ont une distribution et une utilisation plus modestes. Il ne s’agit là que d’un petit nombre de chevaux de Troie d’accès à distance connus, et une liste complète serait assez longue et s’allongerait continuellement.
Remédiation
Les chevaux de Troie d’accès à distance sont secrets par nature et peuvent utiliser une structure de nom de fichier/chemin aléatoire pour tenter d’empêcher l’identification du logiciel. L’installation et l’exécution de Malwarebytes Anti-Malware et Malwarebytes Anti-Exploit permettront d’atténuer toute infection potentielle en supprimant les fichiers associés et les modifications du registre, et/ou en empêchant le vecteur d’infection initial de permettre la compromission du système.
Aftermath
Les chevaux de Troie d’accès à distance ont le potentiel de collecter de grandes quantités d’informations contre les utilisateurs d’une machine infectée. Si des programmes de chevaux de Troie d’accès à distance sont trouvés sur un système, il faut supposer que toute information personnelle (à laquelle on a accédé sur la machine infectée) a été compromise. Les utilisateurs doivent immédiatement mettre à jour tous les noms d’utilisateur et les mots de passe à partir d’un ordinateur propre, et informer l’administrateur approprié du système de la compromission potentielle. Surveillez attentivement les rapports de crédit et les relevés bancaires au cours des mois suivants afin de repérer toute activité suspecte sur les comptes financiers.
Evitement
Comme dans tous les cas, ne cliquez jamais sur des liens de courriels ou de sites Web provenant d’endroits inconnus et n’installez jamais de logiciels à l’instigation de parties inconnues. L’utilisation d’un antivirus et d’une solution anti-malware de bonne réputation permettra de s’assurer que les chevaux de Troie d’accès à distance ne peuvent pas fonctionner correctement, et contribuera à atténuer toute collecte de données. Verrouillez toujours les ordinateurs publics lorsqu’ils ne sont pas utilisés, et méfiez-vous des courriels ou des appels téléphoniques demandant l’installation d’une application.