DarkGate Malware loué à des pirates en herbe

Une nouvelle opération de spam a été identifiée, déployant un logiciel malveillant facilement disponible appelé DarkGate.

Telekom Security, dans un récent rapport, a déclaré que l'activité accrue du malware DarkGate peut être raisonnablement attribuée au fait que son développeur a récemment commencé à le louer à un groupe sélectionné d'associés.

Ce dernier rapport s'appuie sur les récentes découvertes faites par le chercheur en sécurité Igal Lytzki, qui a mis au jour une campagne caractérisée par sa nature à grande échelle. Cette campagne exploite les fils de discussion compromis pour inciter les destinataires à télécharger le logiciel malveillant.

L'attaque démarre avec une URL trompeuse lors d'une tentative de phishing. En cliquant, cette URL navigue à travers un système de direction du trafic (TDS), dirigeant la victime vers une charge utile MSI qui est déclenchée dans des conditions spécifiques. Ces conditions impliquent la présence d'un en-tête d'actualisation au sein de la réponse HTTP.

Lors de l'ouverture du fichier MSI, une procédure en plusieurs étapes est activée. Cela implique l'utilisation d'un script AutoIt pour exécuter le shellcode, qui sert de canal pour décrypter et lancer DarkGate via un crypteur (ou un chargeur).

Pour être plus précis, le chargeur est conçu pour disséquer le script AutoIt et extraire l'instance de malware cryptée. Dans une version alternative des attaques, un script Visual Basic est observé à la place du fichier MSI. Ce script, à son tour, utilise cURL pour récupérer l'exécutable AutoIt et le fichier de script. La méthode précise de livraison du script VB reste inconnue.

DarkGate vendu sur le Dark Web

DarkGate, principalement commercialisé sur des forums clandestins par un individu connu sous le nom de RastaFarEye, possède des capacités qui lui permettent d'échapper à la détection par les logiciels de sécurité. Il peut établir la persistance en apportant des modifications au registre Windows, en augmentant les privilèges et en volant des données à partir de navigateurs Web et d'autres applications telles que Discord et FileZilla.

De plus, il établit une communication avec un serveur de commande et de contrôle (C2) pour répertorier les fichiers, effectuer l'exfiltration de données, lancer l'extraction de crypto-monnaie, capturer à distance des captures d'écran et exécuter d'autres commandes.

Ce malware est disponible via un modèle d'abonnement, avec des prix allant de 1 000 $ par jour à 15 000 $ par mois, et même jusqu'à 100 000 $ par an. L'auteur en fait la promotion comme « l'outil ultime pour les pentesters/redteamers » et met en avant ses caractéristiques uniques. Il est intéressant de noter que les versions antérieures de DarkGate incluaient même un module ransomware.