Lorsque Remcos tente de déjouer les logiciels antivirus, GuLoader devient son complice en l’aidant à contourner les mesures de sécurité. CPR a découvert que GuLoader était commercialisé et vendu comme crypteur, ce qui garantit à la charge utile de Remcos de rester totalement indétectable par les antivirus. Chose curieuse, c’est le même administrateur qui gère la plateforme, vend les deux outils, et en même temps, exploite le site internet officiel et les canaux Telegram associés à Remcos. CPR a recueilli des preuves irréfutables concernant cet individu, qui non seulement se sert des malwares comme Amadey et Formbook, mais utilise également GuLoader pour échapper à la détection des antivirus. Les noms de domaine et les adresses IP associés au vendeur de Remcos et de GuLoader apparaissent dans des rapports d’analystes de malwares.

Guloader et Remcos font partie des leaders du (célèbre) peloton
Dans son classement Top malwares du mois de juillet, CPR soulignait que le RAT Remcos avait progressé de quatre places à cause d’installateurs trojanisés. Remcos occupe désormais la troisième place depuis que des acteurs de la menace sont parvenus, le mois dernier, à créer de faux sites internet et à y diffuser des téléchargeurs malveillants contenant ce RAT.
Remcos, identifié pour la première fois en 2016, est un RAT qui est régulièrement distribué dans des documents Microsoft qui semblent authentiques ou dans des téléchargeurs qui en réalité sont malveillants. On l’a encore récemment observé lors d’une campagne qui faisait intervenir le téléchargeur de malwares Fruity. L’objectif était d’inciter les victimes à télécharger Fruity, qui installait différents RAT tels que Remcos (connu pour sa capacité à se connecter à distance au système de la victime), à voler des informations sensibles et des identifiants, et à effectuer des activités malveillantes sur l’ordinateur de l’utilisateur.

GuLoader et Remcos en 2023 - Les secteurs de la finance et de l’éducation, cibles privilégiées
Selon les informations recueillies par Check Point ThreatCloud AI
• GuLoader : en moyenne chaque mois, 2,4 % des organisations du secteur financier et bancaire sont touchées dans le monde, ce qui équivaut à une organisation sur 41.
• GuLoader : impact le plus marquant dans la région EMEA, avec un impact mensuel moyen de 4,7 % (équivalent à 1 entreprise sur 21)
• Remcos : en moyenne chaque mois, 2,8% des organisations du secteur financier et bancaire sont touchées dans le monde, ce qui équivaut à une organisation sur 35.
• Remcos : impact le plus marquant dans la région APAC, avec une moyenne mensuelle de 2 % (équivalent à 1 entreprise sur 50)

Le distributeur malhonnête est en réalité impliqué dans l’opération illégale
L’enquête de CPR aboutit à une conclusion sans équivoque : les vendeurs de Remcos et GuLoader sont parfaitement conscients que les cybercriminels se sont approprié leurs logiciels, malgré ce qu’ils racontent. L’objectif de CPR est d’identifier les criminels impliqués dans la vente de ces outils, de révéler leurs présences sur les réseaux sociaux et de mettre en lumière les importants revenus illicites générés par ces opérations. Cette analyse met en lumière la menace sérieuse posée par les logiciels à double usage et souligne l’impératif d’une vigilance renforcée à l’égard de ces pratiques frauduleuses dans le domaine de la cybersécurité.
En 2020, CPR avait démasqué une entreprise italienne qui vendait le produit CloudEyE par l’intermédiaire du site internet securitycode.eu et avait mis en évidence son affiliation directe avec GuLoader. Les résultats des recherches ont contraint les créateurs de CloudEyE à suspendre temporairement leurs activités. Sur leur site internet, ils ont publié un message indiquant que leur service avait pour but de protéger la propriété intellectuelle, et non de diffuser des malwares.
Quelques mois plus tard, leur site a remis CloudEyE en vente. Mais très vite, CPR a observé une augmentation du nombre de nouvelles attaques GuLoader dans sa télémétrie, ainsi que l’apparition de nouvelles versions. Actuellement, nous surveillons quotidiennement des dizaines de nouveaux échantillons de GuLoader.
Dans un article sur les récentes versions de GuLoader, l’équipe CPR volontairement omis tout lien entre CloudEyE et la nouvelle version de GuLoader car elle avait remarqué que GuLoader était distribué sous un autre nom, « The Protector », sur le site internet appelé « VgoStore. » Or, il s’avère que VgoStore est étroitement lié à Remcos.
Remcos est un outil de télésurveillance largement reconnu et commercialisé pour un usage légal de localisation et de surveillance. CPR surveille Remcos dans de nombreuses campagnes de phishing depuis son apparition en 2016. Outre ses caractéristiques typiques d’outil d’administration à distance, Remcos propose des fonctionnalités peu communes : capacités man-in-the-middle (MITM), vol de mot de passe, suivi de l’historique du navigateur, vol de cookies, keylogging et contrôle de la webcam. Ces fonctionnalités dépassent le cadre habituel d’un RAT et laissent supposer des intentions plus intrusives et malveillantes.

Résultats de l’enquête
L’enquête de CPR a permis de découvrir un lien très clair entre un individu connu sous le nom d’EMINэM et deux sites internet, BreakingSecurity et VgoStore. Ces sites internet vendent publiquement Remcos et GuLoader, sous le nouveau nom de TheProtect. De plus, CPR a obtenu des preuves de l’implication d’EMINэM dans la distribution de malwares nuisibles, dont FormBook info stealer et Amadey Loader. Par ailleurs, EMINэM se sert de TheProtect pour déjouer la détection antivirus et mener à bien ses propres activités malveillantes.
L’apparente légitimité de BreakingSecurity, de VgoStore et de leurs produits n’est qu’une façade. EMINэM et les individus qui opèrent en coulisses de ces plateformes occupent une place de choix au sein de la communauté cybercriminelle. Ils exploitent leurs sites web pour faciliter des activités illégales et lucratives issues de la vente d’outils malveillants.
Ces informations confirment à quel point il est nécessaire de se montrer vigilant et de coopérer en permanence dans la lutte contre la cybercriminalité. Les autorités chargées de faire respecter la loi, les professionnels de la cybersécurité et l’ensemble de la communauté doivent collaborer pour démasquer et neutraliser ces menaces. En mettant en lumière des individus tels que EMINэM et les plateformes qui leur sont liées, notre objectif est d’instaurer un environnement numérique plus sûr, offrant une meilleure protection aux individus, aux entreprises et à l’écosystème numérique dans son ensemble.
CPR a transmis ses conclusions au bureau des autorités compétentes pour qu’il mène une enquête plus approfondie
Les clients de Check Point Threat Emulation sont protégés contre les attaques de Guloader et Remcos. Threat Emulation offre une protection complète contre les tactiques d’attaque, les types de fichiers et les systèmes d’exploitation. Cette solution protège contre les types d’attaques et de menaces décrits dans le présent rapport.

[1] Référence au chanteur Eminem et sa chanson « The Real Slim Shady »