Table des matières
Neptune Rat fait partie des menaces de logiciels malveillants les plus intelligentes ciblant les appareils Windows. Il exploite des sites comme YouTube et Telegram pour contourner Windows Defender et d'autres outils antivirus. Ses effets incluent les fichiers de verrouillage des ransomwares, le vol de mots de passe et l'effacement de l'enregistrement de démarrage Master Windows 11 (MBR). Malgré sa gravité, la protection de votre appareil Windows de Neptune Rat est étonnamment facile.
Ce qui rend Neptune Rat si dangereux
Le logiciel malveillant de Neptune Rat a été découvert pour la première fois par la société de sécurité Cyfirma. Le «rat» dans l'informatique signifie des chevaux de Troie à l'accès à distance. C'est un fichier qui, lorsqu'il est ouvert, permet à un attaquant de contrôler votre ordinateur de loin. Habituellement, Windows bloque ces tentatives. C'est à cela que servent les programmes antivirus.
Cependant, Neptune Rat est extrêmement sournois, cachant son code nocif avec des mots arabes et des emojis, passant devant votre pare-feu, votre défenseur Windows et d'autres outils antivirus. Il sait même si vous utilisez une machine virtuelle (VM). À la fin de l'utilisateur, il invoque deux commandes PowerShell simples pour infecter votre PC:.
- IRM (invoke-restmethod): tire du contenu tel que des logiciels à partir de sites Web, comme GitHub.
- IEX (invoke-expression): exécute les trucs téléchargés en tant que programme de script.
À un moment donné, un script par lots atterrit sur vos dossiers Windows. Après cela, votre ordinateur se connecte au serveur de l'attaquant.
Un malware aussi dangereux et persistant n'a pas été vu dans Windows depuis très longtemps. Il utilise de nombreux fichiers DLL pour gâcher votre système. Ils peuvent verrouiller vos données PC (ransomware), voler des mots de passe de plus de 270 programmes comme Chrome et Brave Browsers, saisir tout ce que vous copiez et coller, modifier vos paramètres de registre et même effacer votre record de démarrage Master (MBR).
Le pire? Neptune Rat se propage actuellement sur les réseaux sociaux: YouTube, Github, Telegram et d'autres liens. La plupart des gens font intrinsèquement confiance à YouTube, et pour la première fois, cette confiance a été violée. Il est très facile maintenant pour les pirates de publier une vidéo disant: «Cliquez sur le lien ci-dessous la description de la vidéo pour recevoir 500 $ en espèces», puis fournissez un exécutable de Neptune Rat qui peut être déguisé en texte brut.
Solutions aux logiciels malveillants de Neptune Rat
Les dangers de Neptune Rat sont nombreux. Il se faufile devant chaque outil d'analyse de logiciels malveillants et ne nécessite même aucun téléchargement de fichiers. Malgré l'énorme vulnérabilité, les solutions pour les utilisateurs de Windows sont assez simples.
Pour les utilisateurs de Windows qui connaissent PowerShell
PowerShell utilise une fonctionnalité appelée «Mode de langue contrainte», qui restreint l'application à effectuer uniquement des tâches de base. Une fois instruit, il ne peut plus accéder aux ressources Web en utilisant irm et iexbloquant donc le rat Neptune.
$ExecutionContext.SessionState.LanguageMode = "ConstrainedLanguage"Pour forcer le paramètre de langue contraint sur tous les utilisateurs de votre PC, appliquez ce qui suit:
Set-ExecutionPolicy -Scope LocalMachine -ExecutionPolicy Restricted -Force
Pour annuler le paramètre ci-dessus, revenez simplement en mode «Langue complète», et vous pouvez recommencer à télécharger les applets Cmdlets IRM et IEX.
$ExecutionContext.SessionState.LanguageMode = "FullLanguage"Jusqu'à ce que Windows rejette une solution appropriée, il est préférable de les garder désactivés.
Il y a une autre option. Si vous n'utilisez pas vraiment PowerShell, vous pouvez complètement désactiver l'accès de PowerShell à Internet. Après cela, lorsque vous essayez d'exécuter les commandes IRM / IEX, cela générera une erreur dans PowerShell.
New-NetFirewallRule -Name "BlockPowerShellOutbound" -DisplayName "Block PowerShell Outbound" -Enabled True -Direction Outbound -Program "%SystemRoot%System32WindowsPowerShellv1.0powershell.exe" -Action Block
Pour supprimer la règle de bloc au niveau du réseau, utilisez la commande suivante:
Remove-NetFirewallRule -Name "BlockPowerShellOutbound"Bien que le fait de ne pas pouvoir utiliser PowerShell pour l'activité en ligne est un inconvénient mineur, compte tenu de la gravité de la menace de rat Neptune, je vois cela comme la meilleure solution.
Pour les utilisateurs non-Techie
Si vous utilisez YouTube ou Telegram sur un ordinateur Windows, vous pouvez rester à l'abri de Neptune Rat en évitant de cliquer sur des liens dans les descriptions vidéo – même si les créateurs de vidéos vous le demandent. Ils pourraient offrir des rabais ou promettre de résoudre des problèmes de sécurité. Ils se présentent beaucoup dans les jeux de jeux ou de piratage éthique, mais ils peuvent également être dans des clips de cinéma ou d'autres sujets. Vous devez cesser de cliquer sur des liens inconnus, même si les amis ou la famille les partagent sur les réseaux sociaux.
Autres recommandations que nous avons pour les utilisateurs de Windows occasionnels aux prises avec Neptune Rat:
- Utilisez une application Authenticator: Sur un appareil Windows, une application Authenticator est le meilleur moyen de se protéger contre les intrus essayant d'accéder à des comptes sensibles.
- Utiliser des solutions de sécurité Endpoint: La seule façon de détecter les logiciels malveillants sans fidèle comme Neptune peut être détectée est d'utiliser des logiciels de sécurité Endpoint tels que Microsoft Defender, qui est différent de Windows Security. Ils font un bien meilleur travail pour répondre à une activité suspecte dans PowerShell.
