Le Malware ResolverRAT Échappe à la Détection et Touche les Entreprises Pharmaceutiques et de Santé

ResolverRAT, un malware furtif sans fichier, cible les industries de la santé et pharmaceutiques avec des attaques basées sur le hameçonnage, a averti Morphisec Labs.

Une nouvelle variante dangereuse de malware nommée ResolverRAT a été découverte par Morphisec Labs, et elle est déjà utilisée dans des cyberattaques ciblées contre des organisations de santé et pharmaceutiques à travers le monde.

Morphisec rapporte que ResolverRAT est un Cheval de Troie d’Accès à Distance (RAT) conçu pour échapper à la détection et à l’analyse. Contrairement aux malwares traditionnels, ResolverRAT fonctionne entièrement en mémoire et ne laisse pas de fichiers sur le disque, ce qui le rend beaucoup plus difficile à détecter à l’aide des outils antivirus traditionnels.

La menace a été détectée pour la première fois lors d’attaques contre des clients de Morphisec, spécifiquement dans l’industrie de la santé, la dernière vague ayant eu lieu le 10 mars 2025.

Les chercheurs expliquent que ResolverRAT utilise des e-mails de phishing très réalistes en plusieurs langues pour tromper les employés d’entreprise en les incitant à télécharger des fichiers infectés. Les e-mails menacent de conséquences juridiques telles que des violations de droits d’auteur pour forcer les destinataires à cliquer.

« Ces campagnes reflètent la tendance actuelle de phishing hautement localisé », note Morphisec, expliquant que l’adaptation du langage et des thèmes par pays augmente la chance que quelqu’un tombe dans le piège.

Une fois à l’intérieur d’un système, ResolverRAT charge un programme malveillant caché en utilisant une méthode appelée chargement latéral de DLL, souvent dissimulé dans une application légitime. Cela permet au logiciel malveillant de se faufiler sans déclencher d’alarmes.

Le logiciel malveillant utilise des techniques de cryptage et d’obscurcissement puissantes pour masquer son véritable objectif. Il n’opère que dans la mémoire de l’ordinateur, évite d’utiliser des fichiers système normaux, et crée même de faux certificats pour contourner la surveillance sécurisée du réseau.

Sa conception inclut plusieurs méthodes pour rester cachée et active, même si certaines sont bloquées. Elle s’installe dans différentes parties du système et utilise une liste rotative de serveurs et une communication cryptée pour éviter la détection.

Morphisec met en garde que ResolverRAT semble faire partie d’une opération mondiale, présentant des similitudes avec d’autres cyberattaques connues. Des outils partagés, des techniques et même des noms de fichiers identiques suggèrent un effort coordonné ou des ressources partagées entre les groupes de menaces.

« Cette nouvelle famille de logiciels malveillants est particulièrement dangereuse pour les entreprises de santé et pharmaceutiques en raison des données sensibles qu’elles détiennent », a déclaré Morphisec.

Pour combattre des menaces comme ResolverRAT, Morphisec promeut sa Défense Mobile Automatisée (AMTD), qui prévient les attaques dès le stade initial en changeant constamment la surface d’attaque, rendant ainsi plus difficile pour les logiciels malveillants de trouver une cible.

ResolverRAT est un exemple flagrant de l’évolution sophistiquée de la cybercriminalité – et pourquoi des secteurs critiques comme la santé doivent toujours être une longueur d’avance.