ClickCease Le logiciel malveillant DarkGate frappe le Royaume-Uni, les États-Unis et l'Inde

Table des matières

Rejoignez notre populaire bulletin d'information

Rejoignez 4 500+ professionnels de Linux et de l'Open Source !

2 fois par mois. Pas de spam.

Le logiciel malveillant DarkGate frappe le Royaume-Uni, les États-Unis et l'Inde

Wajahat Raja

Le 1er novembre 2023 - L'équipe d'experts de TuxCare

Des experts en cybersécurité ont récemment mis au jour une série de cyberattaques provenant du Viêt Nam et visant le secteur du marketing numérique au Royaume-Uni, aux États-Unis et en Inde. Ces attaques sophistiquées impliquent l'utilisation de diverses souches de logiciels malveillantsCes attaques sophistiquées impliquent l'utilisation de diverses souches de logiciels malveillants, dont le célèbre voleur d'informations DarkGate qui occupe le devant de la scène. Entrons dans les détails des menaces du logiciel malveillant menaces du logiciel malveillant DarkGate et comprenons les stratégies employées par les attaquants.

 

L'équipe de détection et d'intervention de la société de sécurité WithSecure s'est montrée vigilante dans la traque de plusieurs groupes de cybercriminels vietnamiens. groupes de cybercriminels vietnamiens qui mènent des campagnes d'ingénierie sociale. Ces campagnes, qui ont eu lieu en septembre, ont été habilement conçues pour tromper les professionnels du marketing. Les attaquants ont incité leurs victimes à télécharger des fichiers malveillants déguisés en descriptions d'emploi et en détails salariaux alléchants.

 

Tactiques trompeuses


Pour attirer des victimes peu méfiantes dans leur piège, ces cybercriminels ont exploité la confiance que les gens accordent aux offres d'emploi. Ils ont usurpé l'identité de sociétés bien connues telles que Corsair, un fabricant de mémoires et de matériel informatique, et Groww, une société financière indienne. En fabriquant de fausses offres d'emploi, ils ont réussi à convaincre des personnes de télécharger des fichiers apparemment inoffensifs. Par exemple, l'un des stratagèmes consistait à télécharger un fichier malveillant appelé "Job
Description du poste de Corsair.docx", tandis qu'un autre exploitait les offres d'emploi de Groww en Inde.

 

Arsenal de logiciels malveillants

 

Les groupes de cybercriminels à l'origine de ces attaques semblent s'être procuré divers logiciels malveillants de vol d'informations sur les marchés de la cybercriminalité. Ils ont déployé ces outils de manière interchangeable, ce qui rend difficile l'attribution d'une campagne spécifique à un groupe particulier. L'arsenal de logiciels malveillants comprenait notamment DarkGate, Ducktail, Lobshot et Redline.

 

Défis en matière d'attribution

 

Malgré la diversité des stratégies et des logiciels utilisés dans ces attaques, le fil conducteur qui les relie est leur origine vietnamienne. L'attribution dans le domaine cybernétique peut s'avérer difficile car les acteurs de la menace peuvent utiliser diverses technologies pour atteindre le même objectif tout en créant de nouvelles cibles, de nouvelles campagnes et de nouveaux appâts. Par conséquent, le suivi de leurs activités uniquement par le biais des technologies qu'ils utilisent ne donne qu'une image limitée de leurs comportements.

Manque de sophistication

 

Il est à noter que les attaquants individuels ou les groupes à l'origine de ces campagnes n'ont pas fait preuve d'un haut niveau de sophistication. Ils semblent avoir un goût du risque considérable, car ils n'ont pas fait beaucoup d'efforts pour dissimuler leurs activités. Les chercheurs en sécurité ont pu facilement examiner les métadonnées contenues dans les fichiers .lnk, .pdf et .msi utilisés dans la campagne, révélant des informations sur les créateurs du code, les numéros d'identification des disques durs, ainsi que l'heure et l'emplacement de la création des fichiers.

 

Le logiciel malveillant DarkGate

 

Au début du mois d'août, l'équipe vigilante de WithSecure a détecté des pirates vietnamiens qui tentaient d'injecter le voleur d'informations DarkGate dans un appareil Windows compromis. Pour mener à bien leur plan, les pirates ont incité leurs victimes à télécharger un fichier d'archive nommé "Salary and new products.8.4.zip". 

Dans cette archive apparemment inoffensive se cachait un script VBS malveillant conçu pour exécuter un outil de script AutoIT qui, à son tour, exécutait le code du cheval de Troie d'accès à distance DarkGate. code du cheval de Troie d'accès à distance DarkGate. C'est pourquoi il est nécessaire de procéder à une analyse approfondie du malware DarkGate est essentielle pour comprendre sa fonctionnalité et les menaces potentielles qu'il représente.

 

L'histoire tristement célèbre de DarkGate

 

DarkGate est apparu pour la première fois sur le radar des chercheurs en sécurité en 2017, lorsque les cybercriminels l'utilisaient pour diverses activités malveillantes. Il s'agissait notamment de l'enregistrement des frappes, de l'élévation des privilèges, du minage de crypto-monnaies, du vol de données à partir de navigateurs web et du fait de servir de "dropper" pour installer d'autres logiciels malveillants, y compris l'accès à distance à un logiciel DarkGate malveillant.

DarkGate est réputé pour sa taille compacte et sa capacité à obtenir des autorisations de haut niveau sur les systèmes compromis tout en obscurcissant les charges utiles afin d'échapper à la détection antivirus. Efficace DarkGate est cruciale pour la protection de vos actifs numériques. est cruciale pour la protection de vos actifs numériques.

 

Disponibilité généralisée

 

DarkGate continue d'être facilement disponible et utilisé. Fait déconcertant, un utilisateur russe connu sous le nom de "RastaFarEye" a fait de la publicité pour DarkGate sur un forum de cybercriminalité. Le prix du logiciel malveillant était de 100 000 dollars par an, 15 000 dollars par mois ou 1 000 dollars par jour, comme l'a indiqué la société de sécurité Zerofox. Par la suite, les chercheurs en sécurité ont observé une augmentation significative des infections par DarkGate sur le continent américain, au Moyen-Orient, en Asie et en Afrique.

 

Phishing via Microsoft Teams

 

En septembre, un groupe de cybercriminels a utilisé des messages de chat d'ingénierie sociale sur le thème des ressources humaines sur Microsoft Teams pour distribuer le logiciel malveillant DarkGate. Ces attaquants ont compromis des comptes Office 365 pour envoyer des messages de phishing contenant un fichier hébergé sur SharePoint nommé "Changes to the vacation schedule.zip".

 

Tromperie astucieuse

 

Une autre tactique astucieuse utilisée par les attaquants a consisté à compromettre un compte Skype. Ils ont transmis le logiciel malveillant DarkGate par l'intermédiaire d'un script VBS trompeur appelé "filename.pdf". Les destinataires, ayant l'impression de télécharger un fichier PDF légitime, ont involontairement laissé le logiciel malveillant s'introduire dans leur système.

 

LinkedIn comme arme

 

Dans les campagnes associées aux attaquants vietnamiens, LinkedIn a servi de plateforme pour distribuer des fichiers malveillants de type fichiers .zip malveillants aux victimes par le biais de messages directs. L'un de ces messages dirigeait les victimes vers une URL, hxxps://g2.by/jd-Corsair, qui, une fois visitée, redirigeait vers un fichier malveillant hébergé sur Google Drive.

 

Une menace à multiples facettes


Comme le souligne Stephen Robinson, analyste principal du renseignement sur les menaces chez WithSecure, la longévité et la polyvalence de DarkGate sont alarmantes. Il continue d'être utilisé par divers groupes à des fins différentes, au-delà des limites des attaquants vietnamiens. Cette nature multiforme souligne la difficulté d'évaluer l'étendue des cyberactivités en se basant uniquement sur les logiciels malveillants utilisés.


Fonctionnalité intrigante de Ducktail

 

Lors d'un autre incident survenu en juillet, le même groupe d'attaquants a infecté les appareils de particuliers et d'employés qui avaient accès aux comptes suivants comptes Facebook Business à l'aide du voleur d'informations Ducktail. Ducktail comprend notamment une fonction supplémentaire ciblant les comptes Facebook Business. S'il trouve un cookie de session de compte Facebook Business, il tente d'ajouter l'attaquant en tant qu'administrateur. Cette fonctionnalité souligne la nature hautement automatisée des logiciels malveillants contemporains.

 

Conclusion

 

Le logiciel malveillant DarkGate et les groupes cybercriminels qui lui sont associés continuent de représenter une menace importante à l'échelle mondiale. Si ces attaquants manquent de sophistication dans leurs méthodes, leur audace et leur adaptabilité en font des adversaires redoutables. Rester vigilant, se protéger contre les logiciels malveillants du DarkGateet investir dans des des mesures de cybersécurité robustes restent essentiels pour protéger les actifs numériques contre cette menace en constante évolution.

Les sources de cet article comprennent des articles dans The Hacker News et GOVInfoSecurity.

 

Résumé
Le logiciel malveillant DarkGate frappe le Royaume-Uni, les États-Unis et l'Inde
Nom de l'article
Le logiciel malveillant DarkGate frappe le Royaume-Uni, les États-Unis et l'Inde
Description
Restez informé sur le logiciel malveillant DarkGate ciblant le Royaume-Uni, les États-Unis et l'Inde. Apprenez à protéger votre entreprise. Explorez les dernières menaces.
Auteur
Nom de l'éditeur
TuxCare
Logo de l'éditeur

Vous cherchez à automatiser la correction des vulnérabilités sans redémarrage du noyau, temps d'arrêt du système ou fenêtres de maintenance programmées ?

Découvrez le Live Patching avec TuxCare

Devenez rédacteur invité de TuxCare

Commencer

Courrier

Rejoindre

4,500

Professionnels de Linux et de l'Open Source
!

S'abonner à
notre lettre d'information