Barracuda full logo

Malware Brief : xWorm, TrickMo et Remcos

Thèmes:
23 oct. 2025
|
Tony Burgess

À l’approche d’Halloween, j’ai pensé qu’il serait judicieux de consacrer ce Malware Brief aux menaces qui se métamorphosent ou prennent de nouvelles formes. Un peu comme si elles se déguisaient, vous voyez ? (d’accord, ce n’est peut-être pas la meilleure association thématique, mais je n’ai pas mieux, désolé).

Quoi qu'il en soit, nous allons examiner trois menaces. Le premier est XWorm, un cheval de Troie d'accès à distance (RAT) qui fait tout et utilise de nombreuses techniques différentes pour se faufiler sur les réseaux. Sa grande disponibilité sous forme piratée lui a permis de gagner en popularité.

Ensuite, nous aborderons TrickMo, un cheval de Troie pour Android. Il s’agit de la version mobile de TrickBot, un malware initialement conçu pour les ordinateurs.

Enfin, nous allons nous pencher sur Remcos, un outil d’accès à distance légitime qui, comme d’autres, a été transformé en RAT (Remote Access Trojan) qui masque sa nature et lance des menaces persistantes avancées (APT).

XWorm, le RAT polyvalent et multifacettes

Type : RAT modulaire

Capacités : espionnage par webcam, détournement du presse-papiers, comportement similaire à un ransomware, etc.

Techniques de base : contournement AMSI, chargeurs PowerShell/VBS, propagation USB, HVNC, etc.

Acteurs des menaces : TA558, NullBuldge, UAC-0184

Distribution : initialement vendu comme un malware en tant que service avec plusieurs niveaux et capacités, il est ensuite devenu largement disponible dans des versions piratées gratuites.

XWorm est extrêmement populaire, non seulement parce que des versions piratées sont disponibles gratuitement, mais aussi parce qu’il est très facile à utiliser, offre une grande variété de fonctionnalités et est fréquemment mis à jour par ses développeurs. Ces caractéristiques font qu’il est très largement utilisé par les groupes de cybercriminels organisés et professionnels comme TA558, NullBuldge et UAC-0184, mais également par les hackers amateurs aux compétences et capacités limitées.

L’un des aspects qui rend XWorm particulièrement difficile à détecter est son approche dynamique de l’infection. Il utilise une grande variété de chargeurs et passe par différents formats de fichiers et langages de script, notamment PowerShell, VBS, les exécutables .NET, JavaScript, batch script, .hta, .lnk, .iso, .vhd, .img, et bien d’autres afin de préparer et de déployer sa charge utile. Cela l’aide à contourner les défenses classiques des terminaux et les outils de sandboxing.

TrickMo : cheval de Troie pour Android dans la lignée de TrickBot

Type : Trojan bancaire

Capacités: il permet de contrôler à distance l’appareil infecté, ainsi que la collecte de fichiers, l’enregistrement des frappes au clavier, etc.

Acteurs des menaces : les affiliés au groupe TrickBot, aujourd’hui disparu.

Distribution et infection : le programme injecteur se déguise en navigateur Chrome et piège l’utilisateur en l’incitant à installer une mise à jour des services Google Play afin qu’il télécharge un fichier APK contenant la charge utile TrickMo.

Systèmes cibles : appareils mobiles Android

Basé sur le cheval de Troie TrickBot qui cible depuis longtemps les systèmes de bureau Windows, TrickMo illustre l’évolution des malwares de bureau vers les malwares mobiles. En invitant l’utilisateur à activer les services d’accessibilité, TrickMo acquiert des capacités étendues de contrôle et d’accès à l’appareil et aux données qui y sont stockées.

Dans ses variantes les plus récentes, TrickMo utilise de faux écrans de verrouillage et de connexion pour recueillir les identifiants utilisateur. Cependant, il est également capable d’intercepter des mots de passe à usage unique, d’enregistrer les interactions avec les écrans, y compris les schémas de déverrouillage, d’exfiltrer des données à l’aide de 22 infrastructures de commande et de contrôle connues, d’accorder automatiquement des autorisations, et bien plus encore.

Il résiste aux analyses et dissimule sa nature en utilisant des fichiers .zip malformés pour la distribution, entre autres techniques.

Remcos : un outil d'accès à distance légitime devenu malveillant

Type : Outil d'accès à distance commercial souvent détourné dans des campagnes d'hameçonnage et des kits d'exploitation

Capacités : il permet aux pirates de prendre le contrôle administratif des systèmes ciblés, de trouver et d’exfiltrer des données, etc.

Acteurs des menaces : APT33, The Gorgon Group, UAC-0050

Distribution et infection : les e-mails de phishing trompent les destinataires en les incitant à télécharger un fichier apparemment inoffensif qui contient un objet OLE exploitant la vulnérabilité d’exécution de code à distance (RCE) CVE-2017-0199.

Bien que la vulnérabilité CVE-2017-0199 soit connue depuis 2017, de nombreux systèmes non corrigés subsistent, offrant aux pirates de nombreuses opportunités pour continuer à les exploiter.

Les pirates ont de plus en plus tendance à utiliser des outils commerciaux d’accès à distance tels que Remcos pour prendre le contrôle de systèmes ciblés à des fins criminelles. Bien que ces outils puissent être utilisés de façon légitime pour le support informatique et pour permettre aux employés de contrôler à distance les systèmes de bureau à partir d’emplacements hors site, leur utilisation à des fins malveillantes a des répercussions importantes sur la sécurité.

La riposte

La lutte contre ces attaques dépend de :

  • Disposer d’une infrastructure de cybersécurité robuste qui utilise des technologies de détection alimentées par l’IA capables de déjouer les techniques d’obscurcissement avancées.
  • S’assurer que les utilisateurs sont bien informés afin d’identifier les e-mails suspects qui pourraient être des tentatives d’hameçonnage et de vérifier systématiquement leur authenticité avant d’entreprendre toute action.
  • Veiller à ce que tous les systèmes et logiciels soient toujours à jour.
Découvrez la plateforme de cybersécurité BarracudaONE
Tony Burgess

Avec plus de 20 ans d'expérience dans le secteur de la sécurité informatique, Tony Burgess est Senior Copywriter for Content and Customer Marketing de Barracuda.À ce titre, il effectue des recherches sur des sujets techniques complexes et traduit les résultats en une prose claire et compréhensible.

Vous pouvez vous connecter avec Tony sur LinkedIn ici.

Billets associés :
Email Threat Radar – Novembre 2025
Email Threat Radar – Novembre 2025
 Avec EtherHiding, les cybercriminels exploitent des blockchains à l’épreuve des démantèlements
Avec EtherHiding, les cybercriminels exploitent des blockchains à l’épreuve des démantèlements
 Threat Spotlight : décryptage d’un kit d’hameçonnage furtif ciblant Microsoft 365
Threat Spotlight : décryptage d’un kit d’hameçonnage furtif ciblant Microsoft 365
 Les cybercriminels sont de plus en plus jeunes... et plus dangereux
Les cybercriminels sont de plus en plus jeunes... et plus dangereux
Rechercher dans le blog

Rapport 2025 sur les ransomwares

Principales conclusions concernant l’expérience et l’impact des ransomwares sur les organisations du monde entier

Recevez le rapport d'enquête

S’abonner au blog de Barracuda.

Inscrivez-vous pour recevoir des informations sur les menaces, des commentaires sur le secteur et bien plus encore.

Sécurité des vulnérabilités gérée : correction plus rapide, risques réduits, conformité simplifiée 

Découvrez à quel point il peut être facile de trouver les vulnérabilités que les cybercriminels cherchent à exploiter

REGARDER LE WEBINAIRE

Abonnez-vous pour recevoir les nouvelles à connaître sur les menaces, des commentaires sur notre domaine d’activité et bien plus encore.

Recevez directement dans votre boîte de réception toutes les dernières nouvelles, avec nos actualités sur les recherches et nos analyses.