La famille de malwares DarkGate est devenue plus répandue ces derniers mois, après que l’un de ses principaux concurrents a été démantelé par le FBI.
Le logiciel malveillant était découvert par Adi Zeligson, expert en sécurité de l’entreprise de sécurité des terminaux enSilo, en 2018 – mais il a évolué au fil des ans. La version la plus récente, repéré par Spamhaus fin janvier, a ajouté de nouvelles fonctionnalités.
Le logiciel malveillant, dont le développeur est connu sous le nom de RastaFarEye, peut être utilisé pour tout, de l’enregistrement de frappe au vol de données et d’identifiants, et même l’accès à distance – qui peut ensuite être utilisé pour déployer des ransomwares. Les infections DarkGate donnent aux malfaiteurs un contrôle total sur les ordinateurs.
Les vecteurs d’infection sont également nombreux. Des infections ont été détectées à la suite d’attaques d’ingénierie sociale et d’e-mails de phishing, ainsi que Chargement latéral de DLLdu contenu empoisonné dans des services de partage de fichiers accessibles au public et des sites Web compromis
Le malware est donc devenu populaire parmi les équipes de cybercriminels, et ce encore plus ces derniers mois. « DarkGate est un malware qui fait fureur depuis septembre dernier », a déclaré Daniel Blackford, directeur de la recherche sur les menaces chez Proofpoint. Le registre.
L’équipe de chasse aux menaces de Blackford a récemment détecté un gang qu’il traque sous le nom de TA571 et qui utilise DarkGate pour accéder à plus de 1 000 organisations.
Plus de 14 000 campagnes utilisant DarkGate
Proofpoint a recensé 14 000 campagnes au cours desquelles TA571 a utilisé DarkGate pour accéder aux réseaux des victimes, puis voler leurs identifiants et leurs données, déployer des ransomwares, puis revendre cet accès aux réseaux des victimes. Les attaques contenaient également plus de 1 300 variantes de malwares différentes, nous a-t-on dit.
La flexibilité de DarkGate et ses multiples vecteurs d’infection rendent l’attribution plus difficile pour les défenseurs du réseau.
« Si vous avez neuf séries d’activités différentes utilisant DarkGate – ce que nous avons déjà vu à un moment donné – comment le savez-vous ? Avez-vous la télémétrie à votre disposition pour différencier ces séries d’activités avec une grande confiance ? C’est vraiment difficile sans une bonne collection », a expliqué Blackford.
L’équipe de sécurité Unit 42 de Palo Alto Networks a également observé une augmentation de l’utilisation de DarkGate depuis septembre 2023.
Le retrait de QBot donne lieu à DarkGate
Selon les deux sociétés de sécurité, le moment de cette augmentation n’est pas une coïncidence. Il s’inscrit dans le cadre des efforts déployés par le FBI pour perturber QBot (alias Qakbot) et l’infrastructure de ce célèbre botnet et chargeur de logiciels malveillants en août 2023.
« À la suite du démantèlement de QBot, nous avons vu l’acteur principal qui distribuait QBot basculer vers DarkGate, puis un certain nombre d’autres acteurs ont suivi son exemple », a observé Blackford. « On a ce modèle de suivi du leader. »
Depuis août dernier, l’Unité 42 a également signalé avoir vu plusieurs campagnes distribuant DarkGate, qui, selon l’unité de renseignement sur les menaces, fait également la promotion de l’informatique en réseau virtuel caché, du cryptomining et du contrôle à distance du shell inversé parmi ses capacités malveillantes.
Dans un rapport du 10 juillet, Palo Alto a décrit en détail une campagne qui a débuté en mars et qui utilisait des fichiers Microsoft Excel comme point de départ. Ces fichiers contenaient une URL qui dirigeait les victimes vers un partage de fichiers Samba/SMB public, l’objectif étant d’inciter les victimes à télécharger DarkGate sur leurs appareils.
Les attaques “principalement destiné à l’Amérique du Nord « Au début, le virus s’est propagé lentement en Europe ainsi que dans certaines régions d’Asie », selon Vishwa Thothathri, Yijie Sui, Anmol Maurya, Uday Pratap Singh et Brad Duncan de l’unité 42. « Notre télémétrie indique quelques pics d’activité, le plus marquant étant le 9 avril 2024, avec près de 2 000 échantillons ce seul jour. »
Le rapport de l’unité 42 a également trouvé des preuves qui « semblent avoir été une exfiltration de données dans cinq requêtes HTTP POST envoyant près de 218 Ko de données ».
Expertise en évasion
DarkGate utilise également plusieurs techniques d’évasion pour éviter d’être détecté. Cela comprend le chiffrement, l’obscurcissement du code et plusieurs analyses de l’environnement cible, notamment la vérification du processeur de la cible pour déterminer si elle fonctionne sur une machine virtuelle ou physique, ce qui « permet à DarkGate de cesser ses opérations pour éviter d’être analysé dans un environnement contrôlé », a écrit l’équipage de l’Unité 42.
Ils répertorient également 26 produits anti-malware que DarkGate vérifie pour voir s’ils fonctionnent sur la machine cible, notamment Windows Defender et SentinelOne.
« Avec ses vecteurs d’attaque multiformes et son évolution vers une offre MaaS à part entière, DarkGate démontre un niveau élevé de complexité et de persistance », selon l’entreprise de sécurité.
Le registre suggère de lire l’analyse dans son intégralité. Elle contient de nombreux détails techniques et une longue liste d’indicateurs de compromission qui peuvent être utiles dans la recherche de menaces sur votre réseau.
Il convient également de souligner que DarkGate et d’autres campagnes de logiciels malveillants continuent d’utiliser des e-mails de phishing et d’envoyer des fichiers malveillants pour une seule raison : parce que ces techniques fonctionnent.
Ainsi, en plus de mettre en œuvre une approche de sécurité à plusieurs niveaux (y compris des outils qui bloquent les messages malveillants avant qu’ils n’atteignent les boîtes de réception des utilisateurs, mais détectent également les menaces après leur livraison), la prévention de ces types d’attaques nécessite de former les employés à repérer les faux e-mails et les fausses pages de connexion. ®
2024-07-16 03:15:00
1721091198
#DarkGate #couteau #suisse #des #malwares #connaît #boom #après #lécrasement #son #rival #Qbot #Register
