Malware Neptune RAT sur Windows : Attention aux liens YouTube et Telegram

Neptune RAT est l’une des menaces de malware les plus sophistiquées ciblant les appareils Windows. Elle exploite des sites comme YouTube et Telegram pour contourner Windows Defender et d’autres outils antivirus. Ses effets incluent le verrouillage des fichiers par ransomware, le vol de mots de passe et l’effacement du Master Boot Record (MBR) de Windows 11. Malgré sa gravité, protéger votre appareil Windows contre Neptune RAT est étonnamment facile.

Qu’est-ce qui rend Neptune RAT si dangereux

Le malware Neptune RAT a été découvert pour la première fois par la société de sécurité Cyfirma. Le “RAT” signifie Remote Access Trojans. C’est un fichier qui, une fois ouvert, permet à un attaquant de contrôler votre ordinateur à distance. En général, Windows bloque ces tentatives, après tout, c’est le rôle des programmes antivirus.

Cependant, Neptune RAT est extrêmement furtif, cachant son code nuisible avec des mots arabes et des emojis, contournant votre pare-feu, Windows Defender et d’autres outils antivirus. Il sait même si vous utilisez une machine virtuelle (VM). Du côté utilisateur, il invoque deux simples commandes PowerShell pour infecter votre PC :

• irm (Invoke-RestMethod) : récupère du contenu tel que des logiciels depuis des sites comme GitHub.
• iex (Invoke-Expression) : exécute les contenus téléchargés en tant que programme de script.

À un moment donné, un script batch se retrouve dans vos dossiers Windows. Après cela, votre ordinateur se connecte au serveur de l’attaquant.

Un malware aussi dangereux et persistant n’a pas été vu sur Windows depuis très longtemps. Il utilise de nombreux fichiers DLL pour perturber votre système. Ils peuvent verrouiller les données de votre PC (ransomware), voler des mots de passe de plus de 270 programmes tels que les navigateurs Chrome et Brave, saisir tout ce que vous copiez et collez, modifier vos paramètres de registre, et même effacer votre Master Boot Record (MBR).

Le pire ? Neptune RAT se propage actuellement à travers les réseaux sociaux : YouTube, GitHub, Telegram et d’autres liens. La plupart des gens font confiance à YouTube de manière innée, et pour la première fois, cette confiance a été violée. Il est désormais très facile pour les hackers de publier une vidéo disant : “Cliquez sur le lien ci-dessous la description de la vidéo pour recevoir 500 $ en espèces”, puis de fournir un exécutable Neptune RAT qui peut être déguisé en texte clair.

Solutions au malware Neptune RAT

Les dangers de Neptune RAT sont nombreux. Il réussit à passer au travers de chaque outil d’analyse de malware, et ne nécessite même pas de téléchargements de fichiers. Malgré la vulnérabilité énorme, les solutions pour les utilisateurs de Windows sont assez simples.

Pour les utilisateurs de Windows qui connaissent PowerShell

PowerShell emploie une fonctionnalité appelée “mode de langage contraint”, qui limite l’application à l’exécution de tâches de base uniquement. Une fois instruit, il ne peut plus accéder aux ressources web en utilisant irm et iex, bloquant ainsi Neptune RAT.

$ExecutionContext.SessionState.LanguageMode ="ConstrainedLanguage"

Pour forcer le paramètre de langage contraint sur tous les utilisateurs de votre PC, appliquez ce qui suit :

Set-ExecutionPolicy-Scope LocalMachine -ExecutionPolicy Restricted -Force

Pour annuler le paramètre ci-dessus, revenez simplement au mode “Langue complète”, et vous pouvez recommencer à télécharger les cmdlets irm et iex.

$ExecutionContext.SessionState.LanguageMode ="FullLanguage"

Jusqu’à ce que Windows publie une solution appropriée, il est préférable de les garder désactivés.

Il existe une autre option. Si vous n’utilisez pas vraiment PowerShell, vous pouvez complètement désactiver l’accès de PowerShell à Internet. Après cela, lorsque vous essayez d’exécuter les commandes irm/iex, cela générera une erreur dans PowerShell.

New-NetFirewallRule -Name"BlockPowerShellOutbound"-DisplayName"Block PowerShell Outbound"-Enabled True -Direction Outbound -Program "%SystemRoot%\System32\WindowsPowerShell\v1.0\powershell.exe"-Action Block

Pour supprimer la règle de blocage au niveau du réseau, utilisez la commande suivante :

Remove-NetFirewallRule -Name"BlockPowerShellOutbound"

Bien ne pas pouvoir utiliser PowerShell pour une activité en ligne est un léger inconvénient, compte tenu de la gravité de la menace Neptune RAT, je considère cela comme la meilleure solution.

Pour les utilisateurs non-techniques

Si vous utilisez YouTube ou Telegram sur un ordinateur Windows, vous pouvez rester en sécurité contre Neptune RAT en évitant de cliquer sur les liens dans les descriptions de vidéos – même si les créateurs de vidéos vous le demandent. Ils peuvent offrir des réductions ou promettre de résoudre des problèmes de sécurité. Ces demandes apparaissent souvent dans des vidéos de jeux ou de hacking éthique, mais elles peuvent également figurer dans des extraits de films ou d’autres sujets. Vous devriez cesser de cliquer sur des liens inconnus, même si des amis ou de la famille les partagent dans les réseaux sociaux.

D’autres recommandations que nous avons pour les utilisateurs Windows occasionnels confrontés à Neptune RAT :

• Utilisez une application d’authentification : sur un appareil Windows, une application d’authentification est le meilleur moyen de se protéger contre les intrus tentant d’accéder à des comptes sensibles.
• Utilisez des solutions de sécurité des points de terminaison : la seule façon de détecter des malwares sans fichier comme Neptune RAT est d’utiliser un logiciel de sécurité des points de terminaison tel que Microsoft Defender, qui est différent de la sécurité Windows. Ils font un bien meilleur travail pour répondre aux activités suspectes dans PowerShell.