Dans un paysage de cybermenaces en constante évolution, les forces de l’ordre ont constaté des progrès dans la découverte de DarkGate, des développeurs de logiciels malveillants, des acteurs de la menace et des gestionnaires de forums.
Dans le même temps, ils prennent de plus en plus le contrôle des serveurs de commande et de contrôle, perturbant ainsi les réseaux de distribution de logiciels malveillants. Dans cet environnement dynamique, l’émergence de nouveaux acteurs et l’adaptation des acteurs existants ne sont pas un hasard. Un exemple récent de cette évolution est l’émergence des logiciels malveillants morphing, qui montrent les acteurs de la menace changeant de nom et modifiant les familles de logiciels malveillants. Suite au démantèlement de l’infrastructure Qbot, la propagation de DarkGate s’est considérablement accrue, mettant en évidence l’évolution continue des cybermenaces.
DarkGate, PikaBot et Qakbot
Cofense a trouvé des similitudes entre les campagnes de phishing DarkGate et PikaBot qui s'appuient sur les techniques Qakbot. Cela indique d’éventuelles connexions inconnues ou adaptations de techniques existantes et met en évidence la complexité des cybermenaces modernes. DarkGate, également connu sous le nom de MehCrypter, agit à la fois comme un chargeur de malware et comme un RAT et peut donc effectuer diverses actions malveillantes. Il s’agit notamment du vol de données sensibles et de l’utilisation de mineurs de cryptomonnaie. Le malware est principalement distribué via le phishing, souvent via des sujets liés aux mises à jour du navigateur, ainsi que via la publicité malveillante et l'empoisonnement du référencement. Une fonctionnalité spéciale est l'utilisation d'Autolt, un langage de script pour automatiser l'interface graphique Windows et les tâches de script courantes. Cette fonctionnalité permet aux utilisateurs de créer des scripts qui automatisent des tâches telles que les pressions sur les touches et les mouvements de la souris, ce qui est particulièrement utile pour l'installation de logiciels et l'administration du système.
Le malware est également distribué via de faux thèmes de mise à jour du navigateur. Des URL de phishing et des systèmes de distribution de trafic sont utilisés pour télécharger la charge utile malveillante. La propagation du malware a également été observée via Microsoft Teams, où les attaquants se faisaient passer pour le PDG de l'entreprise et envoyaient des invitations à Teams dans le cadre de leurs tactiques de tromperie. L’utilisation de systèmes de protection des points finaux pour détecter et bloquer les logiciels malveillants est essentielle, comme le montre l’exemple de DarkGate.
Plus sur Logpoint.com
À propos de Logpoint Logpoint est le fabricant d'une plateforme fiable et innovante pour les opérations de cybersécurité. En combinant une technologie avancée et une compréhension approfondie des défis des clients, Logpoint renforce les capacités des équipes de sécurité et les aide à lutter contre les menaces actuelles et futures. Logpoint propose des technologies de sécurité SIEM, UEBA, SOAR et SAP qui convergent vers une plateforme complète qui détecte efficacement les menaces, minimise les faux positifs, priorise les risques de manière autonome, répond aux incidents et bien plus encore.