Logiciel malveillant DarkGate

Une campagne de spam utilisant un malware facilement disponible appelé DarkGate a été mise en lumière. Les chercheurs en cybersécurité suggèrent que l'augmentation de l'activité du malware DarkGate est probablement due à la récente décision du développeur du malware de le proposer en location à un groupe sélectionné de partenaires cybercriminels. Le déploiement de cette menace a également été associé à une campagne à grande échelle qui exploite les fils de discussion compromis pour inciter les destinataires à télécharger le logiciel malveillant sans le savoir.

Le logiciel malveillant DarkGate est diffusé via un processus d’attaque en plusieurs étapes

L'attaque démarre en attirant la victime vers une URL de phishing qui, une fois cliquée, passe par un système de direction du trafic (TDS). L’objectif est de diriger les victimes sans méfiance vers une charge utile MSI dans certaines conditions spécifiques. L'une de ces conditions est la présence d'un en-tête d'actualisation dans la réponse HTTP.

Lors de l'ouverture du fichier MSI, un processus en plusieurs étapes est déclenché. Ce processus implique l'utilisation d'un script AutoIt pour exécuter un shellcode, qui sert à décrypter et à lancer la menace DarkGate via un crypteur ou un chargeur. Pour être plus précis, le chargeur est programmé pour analyser le script AutoIt et en extraire la charge utile cryptée.

Une version alternative de ces attaques a également été observée. Au lieu d'un fichier MSI, un script Visual Basic est utilisé, qui utilise cURL pour récupérer à la fois l'exécutable AutoIt et le fichier de script. La méthode exacte utilisée pour fournir le script VB reste actuellement inconnue.

DarkGate peut effectuer de nombreuses actions nuisibles sur les appareils infectés

DarkGate dispose d'une gamme de fonctionnalités qui lui permettent d'échapper à la détection par les logiciels de sécurité, d'établir la persistance grâce aux modifications du registre Windows, d'élever les privilèges et de voler les données des navigateurs Web et des plates-formes logicielles comme Discord et FileZilla.

De plus, il établit une communication avec un serveur de commande et de contrôle (C2), permettant des actions telles que l'énumération de fichiers, l'extraction de données, le lancement d'opérations d'extraction de cryptomonnaie, la capture d'écran à distance et l'exécution de diverses commandes.

Cette menace est principalement commercialisée sur des forums clandestins sous un modèle d'abonnement. Les prix proposés varient, allant de 1 000 $ par jour à 15 000 $ par mois et même jusqu'à 100 000 $ par an. Le créateur du malware le présente comme « l'outil ultime pour les pen-testers/red-teamers », en soulignant ses fonctionnalités exclusives que l'on ne trouve nulle part ailleurs. Il est intéressant de noter que les chercheurs en cybersécurité ont découvert des itérations antérieures de DarkGate qui incluaient également un module ransomware.

Ne tombez pas dans le piège des astuces utilisées dans les attaques de phishing

Les attaques de phishing constituent la principale voie de transmission d'une variété de menaces de logiciels malveillants, notamment les voleurs, les chevaux de Troie et les chargeurs de logiciels malveillants. Il est essentiel de reconnaître de telles tentatives de phishing pour rester en sécurité et ne pas exposer vos appareils à des risques dangereux en matière de sécurité ou de confidentialité. Voici quelques signaux d’alarme typiques à prendre en compte :

• • Adresse de l'expéditeur suspecte : vérifiez attentivement l'adresse e-mail de l'expéditeur. Soyez prudent s'il contient des fautes d'orthographe, des caractères supplémentaires ou s'il ne correspond pas au domaine officiel de l'organisation dont il prétend provenir.

• • Salutations non spécifiées : les e-mails de phishing utilisent souvent des salutations génériques telles que « Cher utilisateur » au lieu de vous adresser par votre nom. Les organisations légitimes personnalisent généralement leur communication.

• • Langage urgent ou menaçant : les e-mails de phishing ont tendance à créer un sentiment d'urgence ou de peur pour inciter à une action immédiate. Ils peuvent prétendre que votre compte est suspendu ou vous en subirez des conséquences si vous n'agissez pas rapidement.

• • Demandes inhabituelles d'informations personnelles : méfiez-vous des e-mails demandant des informations sensibles telles que des mots de passe, des numéros de sécurité sociale ou des détails de carte de crédit. Les organisations légitimes ne demanderont pas de telles informations par courrier électronique.

• • Pièces jointes inhabituelles : n'ouvrez pas les pièces jointes provenant d'expéditeurs inconnus. Ils pourraient contenir des logiciels malveillants. Même si la pièce jointe vous semble familière, soyez prudent si elle est inattendue ou si elle vous incite à agir immédiatement.

• • Offres trop belles pour être vraies : les e-mails de phishing peuvent promettre des récompenses, des prix ou des offres incroyables destinés à vous inciter à cliquer sur des liens malveillants ou à fournir des informations personnelles.

• • Liens inattendus : méfiez-vous des e-mails contenant des liens inattendus. Au lieu de cliquer, saisissez manuellement l'adresse du site officiel dans votre navigateur.

• • Manipulation émotionnelle : les e-mails de phishing peuvent tenter de susciter des émotions telles que la curiosité, la sympathie ou l'enthousiasme pour vous inciter à accéder à des liens ou à télécharger des pièces jointes.

• • Manque d'informations de contact : les organisations légitimes fournissent généralement des informations de contact. Si un e-mail ne contient pas ces informations ou ne fournit qu'une adresse e-mail générique, soyez prudent.

Rester vigilant et vous renseigner sur ces signaux d’alarme peut grandement vous protéger contre les tentatives de phishing. Si vous recevez un e-mail qui éveille des soupçons, il est préférable de vérifier sa légitimité via les canaux officiels avant d'entreprendre toute action.