Une nouvelle campagne de phishing exploite les messages Microsoft Teams pour envoyer des pièces jointes malveillantes qui installent le malware DarkGate Loader.

La campagne a débuté fin août 2023, lorsque des messages de phishing Microsoft Teams ont été détectés envoyés par deux comptes Office 365 externes compromis à d’autres organisations.

Ces comptes ont été utilisés pour inciter d’autres utilisateurs de Microsoft Teams à télécharger et à ouvrir un fichier ZIP nommé « Modifications du calendrier des vacances ».

Message de phishing envoyé aux cibles

Cliquer sur la pièce jointe déclenche le téléchargement du ZIP à partir d’une URL SharePoint et contient un fichier LNK se faisant passer pour un document PDF.

Les chercheurs de Truesec ont analysé la campagne de phishing de Microsoft Teams et ont découvert qu’elle contenait un VBScript malveillant qui déclenche la chaîne d’infection menant à une charge utile identifiée comme DarkGate Loader.

Pour tenter d’échapper à la détection, le processus de téléchargement utilise Windows cURL pour récupérer les fichiers exécutables et de script du logiciel malveillant.

Le script est arrivé précompilé, cachant son code malveillant au milieu du fichier, commençant par des « octets magiques » distinctifs associés aux scripts AutoIT.

Section Magicbytes dans le script malveillant

Avant de continuer, le script vérifie si le logiciel antivirus Sophos est installé sur la machine ciblée, et si ce n’est pas le cas, il désobscurcit le code supplémentaire et lance le shellcode.

Le shellcode utilise une technique appelée « chaînes empilées » pour construire l’exécutable DarkGate Windows et le charger en mémoire.

Détails de la charge utile

Phishing dans les équipes Microsoft
La campagne vue par Truesec et Deutsche Telekom CERT utilise des comptes Microsoft Teams compromis pour envoyer les pièces jointes malveillantes à d’autres organisations Teams.

Le phishing de Microsoft Teams a déjà été démontré dans un rapport de juin 2023 de Jumpsec, qui a découvert un moyen d’envoyer des messages malveillants à d’autres organisations par le biais du phishing et de l’ingénierie sociale, ce qui est similaire à ce que nous voyons dans l’attaque signalée.

Malgré l’émoi provoqué par cette découverte, Microsoft a décidé de ne pas aborder le risque. Au lieu de cela, il est recommandé aux administrateurs d’appliquer des configurations sécurisées telles que des listes autorisées à portée limitée et de désactiver l’accès externe si la communication avec les locataires externes n’est pas nécessaire.

Un outil publié par Red Teamer en juillet 2023 a rationalisé cette attaque de phishing de Microsoft Teams, augmentant encore la probabilité qu’elle soit utilisée de manière abusive dans la nature.

Cependant, rien n’indique que cette méthode soit impliquée dans la chaîne d’attaque de la campagne récemment observée.

DarkGate s’ouvre
DarkGate circule depuis 2017 et est utilisé de manière limitée par un petit cercle de cybercriminels qui l’ont utilisé contre des cibles très spécifiques.

Il s’agit d’un logiciel malveillant puissant qui prend en charge un large éventail d’activités malveillantes, notamment hVNC pour l’accès à distance, l’extraction de crypto-monnaie, le reverse shell, l’enregistrement au clavier, le vol de presse-papiers et le vol d’informations (fichiers, données du navigateur).

En juin 2023, ZeroFox a signalé qu’une personne prétendant être l’auteur original de DarkGate avait tenté de vendre l’accès au malware à dix personnes pour le coût absurde de 100 000 $/an.

Message du forum sur DarkGate

Au cours des mois suivants, de nombreux rapports ont fait état d’une distribution croissante de DarkGate et de l’utilisation de divers canaux, notamment le phishing et la publicité malveillante.

Bien que DarkGate ne soit peut-être pas encore une menace répandue, son ciblage croissant et l’adoption de multiples voies d’infection en font une menace émergente à surveiller de près.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *