Une campagne de phishing sophistiquée poussant les infections du malware DarkGate a récemment ajouté le malware PikaBot au mélange, ce qui en fait la campagne de phishing la plus avancée depuis le démantèlement de l’opération Qakbot.

La campagne de courrier électronique malveillant a débuté en septembre 2023, après que le FBI a saisi et mis hors service l’infrastructure de QBot (Qakbot).

Dans un nouveau rapport de Cofense, les chercheurs expliquent que les campagnes DarkGate et Pikabot utilisent des tactiques et des techniques similaires aux précédentes campagnes Qakbot, indiquant que les acteurs de la menace Qbot sont désormais passés aux nouveaux botnets de logiciels malveillants.

« Cette campagne constitue sans aucun doute une menace de haut niveau en raison des tactiques, techniques et procédures (TTP) qui permettent aux e-mails de phishing d’atteindre les cibles prévues ainsi que des capacités avancées du malware diffusé. » – Défense.
Étant donné que Qbot était l’un des botnets de logiciels malveillants les plus répandus distribués par courrier électronique et que DarkGate et Pikabot sont des chargeurs de logiciels malveillants modulaires dotés de nombreuses fonctionnalités identiques à celles de Qbot, cela représente un risque majeur pour l’entreprise.

Comme Qbot, les nouveaux chargeurs de logiciels malveillants seront utilisés par les acteurs malveillants pour obtenir un premier accès aux réseaux et seront susceptibles de mener des attaques de ransomware, d’espionnage et de vol de données.

La montée en puissance des campagnes DarkGate et PikaBot

La campagne DarkGate et Pikabot
Au cours de l’été dernier, il y a eu une augmentation massive du nombre d’e-mails malveillants poussant le malware DarkGate, les acteurs malveillants ayant choisi d’installer Pikabot comme charge utile principale en octobre 2023.

L’attaque de phishing commence par un e-mail qui est une réponse ou un transfert d’un fil de discussion volé, ce qui augmente la probabilité que les destinataires traitent la communication avec confiance.

E-mail de phishing utilisé dans la campagne

Les utilisateurs cliquant sur l’URL intégrée passent par une série de vérifications qui vérifient qu’il s’agit de cibles valides, puis invitent la cible à télécharger une archive ZIP contenant un compte-gouttes de malware qui récupère la charge utile finale à partir d’une ressource distante.

Cofense rapporte que les attaquants ont expérimenté plusieurs suppressions initiales de logiciels malveillants pour déterminer laquelle fonctionne le mieux, notamment :

  • Compte-gouttes JavaScript pour télécharger et exécuter des PE ou des DLL.
  • Chargeur Excel-DNA basé sur un projet open source utilisé pour créer des fichiers XLL, exploité ici pour télécharger et exécuter des malwares.
  • Téléchargeurs VBS (Virtual Basic Script) qui peuvent exécuter des logiciels malveillants via des fichiers .vbs dans des documents Microsoft Office ou appeler des exécutables de ligne de commande.
  • Téléchargeurs LNK qui abusent des fichiers de raccourci Microsoft (.lnk) pour télécharger et exécuter des logiciels malveillants.

La charge utile finale utilisée dans ces attaques était le malware DarkGate jusqu’en septembre 2023, qui a été remplacé par PikaBot en octobre 2023.

DarkGate et PikaBot
DarkGate a été documenté pour la première fois en 2017, mais il n’est devenu accessible à l’ensemble de la communauté de la cybercriminalité que l’été dernier, ce qui a entraîné une augmentation de sa diffusion par le biais du phishing et de la publicité malveillante.

Il s’agit d’un malware modulaire avancé qui prend en charge une variété de comportements malveillants, notamment hVNC pour l’accès à distance, l’extraction de crypto-monnaie, le shell inversé, l’enregistrement au clavier, le vol de presse-papiers et le vol d’informations (fichiers, données du navigateur).

PikaBot est un malware plus récent apparu pour la première fois début 2023 et composé d’un chargeur et d’un module principal, intégrant de nombreux mécanismes anti-débogage, anti-VM et anti-émulation.

Le malware profile les systèmes infectés et envoie les données à son infrastructure de commande et de contrôle (C2), en attendant des instructions supplémentaires.

Le C2 envoie des commandes demandant au malware de télécharger et d’exécuter des modules sous la forme de fichiers DLL ou PE, de shellcode ou de commandes de ligne de commande, c’est donc un outil polyvalent.

Cofense prévient que les campagnes PikaBot et DarkGate sont menées par des acteurs malveillants bien informés dont les capacités sont supérieures à celles des phishers ordinaires. Les organisations doivent donc se familiariser avec les TTP de cette campagne.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *