Un nouveau logiciel malveillant, baptisé ResolverRAT, cible les secteurs de la santé et de la pharmacie. Il se propage par e-mail et permet aux pirates de prendre le contrôle des ordinateurs à distance, tout en évitant d’être détecté.
Une attaque par e-mail
Les chercheurs en cybersécurité de Morphisec ont repéré un nouveau virus informatique, appelé ResolverRAT, utilisé pour attaquer des entreprises dans le domaine de la santé et des laboratoires pharmaceutiques. La dernière vague d’attaques a été observée début mars 2025.
Le virus arrive par e-mail. Les pirates envoient un message qui semble officiel, parfois avec des sujets comme une plainte juridique ou une violation de droits d’auteur. Le message est rédigé dans la langue du pays ciblé, pour paraître plus crédible. Il contient un lien qui permet de télécharger un fichier. Une fois ouvert, ce fichier lance discrètement le virus.
Un virus qui s’installe sans laisser de trace
Ce qui rend ResolverRAT dangereux, c’est sa capacité à rester invisible. Contrairement à d’autres virus, il ne s’installe pas sur le disque dur, mais reste uniquement en mémoire. Cela signifie qu’il disparaît lorsque l’ordinateur est redémarré, mais qu’il est très difficile à repérer tant qu’il est actif.
Pour passer inaperçu, il utilise un programme informatique légitime, détourné pour faire fonctionner le virus. Ce genre de méthode permet de contourner les antivirus classiques, qui ne voient, hélas, rien d’anormal.
ResolverRAT met en place plusieurs méthodes pour revenir après un redémarrage. Il modifie certains réglages cachés de l’ordinateur pour se relancer automatiquement. Il copie aussi ses fichiers dans différents dossiers, pour augmenter ses chances de rester actif même si une partie du système est nettoyée.
Pour communiquer avec les pirates, il utilise des méthodes qui ressemblent au trafic normal d’un ordinateur, ce qui rend les échanges difficiles à détecter par les logiciels de sécurité.
Un outil de surveillance à distance
Le but de ResolverRAT est de permettre aux pirates de contrôler l’ordinateur à distance. Ils peuvent voir les fichiers, récupérer des données, ou installer d’autres programmes malveillants. Les fichiers volés sont découpés en petits morceaux avant d’être envoyés, pour ne pas éveiller les soupçons.
Pour l’instant, les chercheurs n’ont pas identifié le groupe derrière cette opération, mais les indices montrent qu’il s’agit d’une attaque bien organisée et menée à grande échelle. Soyez donc très prudents en ouvrant des pièces jointes si vous bossez dans un cabinet médical ou un hôpital, et en cas de doute, communiquez avec les personnes en charge du parc informatique de votre lieu de travail !
