Logiciel malveillant DarkIRC

DarkIRC Malware est une menace qui est proposée à la vente sur les forums de pirates souterrains. Le créateur présumé de ce malware et celui qui en fait la publicité depuis août 2020 utilise le nom de compte Freak_OG. Selon les articles, DarkIRC est disponible à l'achat pour 75 $. Bien qu'il n'ait pas été déterminé si elle est dirigée par le créateur de la menace ou un client potentiel, une campagne d'attaque livrant DarkIRC a été détectée par les chercheurs d'Infosec. Les principales cibles de la campagne menaçante sont les serveurs Oracle WebLogic exposés qui n'ont pas été corrigés pour la vulnérabilité d'exécution de code à distance (RCE) CVE-2020-1482 malgré le correctif corrigeant le problème publié par Oracle en octobre 2020. Cette vulnérabilité particulière est extrêmement grave car il est exploitable sans aucune authentification, y compris les noms d'utilisateur ou les mots de passe.

Le logiciel malveillant DarkIRC possède un large éventail de fonctions menaçantes

Si un serveur Oracle WebLogic non corrigé est détecté, DarkIRC y sera livré via une requête HTTP GET. Le binaire corrompu déposé sur le système est équipé de contre-mesures contre l'analyse potentielle ou en cours d'exécution dans un environnement sandbox - il met fin à son exécution s'il détecte une machine virtuelle VMware, VBox, QEMU, VirtualBox ou Xen.

La suite de son processus d'attaque est de s'installer dans % APDATA% \ Chrome / Chrome.exe puis d'établir son mécanisme de persistance via la création d'une entrée autorun. Désormais, DarkIRC peut procéder à sa multitude d'activités menaçantes. La menace dispose d'un large éventail de fonctions disponibles car elle peut télécharger des fichiers supplémentaires, exécuter des commandes arbitraires, collecter des informations d'identification, lancer un enregistrement de frappe et mener des attaques DDoS (déni de service distribué). DarkIRC est capable de se propager à d'autres systèmes et appareils via plusieurs méthodes différentes:

• Attaques RDP par force brute
• MSSQL
• PME
• USB

Si les acteurs de la menace le souhaitent, ils peuvent également tirer parti de DarkIRC pour agir en tant que clipper Bitcoin. Cela signifie que la menace remplacera, en temps réel, toute adresse de portefeuille Bitcoin qui a été copiée dans le presse-papiers par l'un des pirates informatiques, ce qui fera que les victimes envoient sans le savoir leurs fonds au mauvais destinataire.