Un rapport dévoile les méthodes d’infection des familles de logiciels malveillants DarkGate, Emotet et LokiBot. En plus des méthodes de chiffrement unique en leur genre de DarkGate et le retour en force d’Emotet, les exploits de LokiBot se poursuivent, illustrant l’évolution constante du paysage des menaces cyber.
En juin 2023, des chercheurs ont découvert un nouveau loader baptisé DarkGate, doté d’un éventail de fonctionnalités dépassant les capacités habituelles des loaders. Parmi elles, on retrouve un VNC caché, un proxy inverse et des capacités de blocage de Windows Defender, de piratage de l’historique du navigateur infecté, de gestion des fichiers et de vol de jetons Discord.
Le fonctionnement de DarkGate implique une chaîne d’infection en quatre étapes, conçues de manière sophistiquée pour aboutir au chargement de DarkGate. Ce chargeur se distingue par sa façon unique de chiffrer les chaînes de caractères avec des clés personnalisées et une version originale de l’encodage Base64, utilisant un jeu de caractères spécial.
Dans son rapport, la société Kaspersky s’est penchée sur l’activité d’Emotet, un botnet notoire qui a récemment refait surface après avoir été démantelé en 2021. Dans cette nouvelle campagne, les victimes sont amenées à ouvrir, involontairement, un fichier OneNote malveillant qui déclenche l’exécution d’un VBScript caché et déguisé. Le script tente ensuite de télécharger la charge utile malveillante à partir de différents sites web jusqu’à ce qu’il réussisse à s’infiltrer dans le système. Une fois à l’intérieur, Emotet place une bibliothèque de liens dynamiques (DLL) dans le répertoire temporaire, puis l’exécute.
Cette DLL contient des instructions cachées (shellcode), ainsi que des fonctions d’importation chiffrées. En déchiffrant habilement un fichier spécifique à partir de sa section de ressources, Emotet prend le dessus sur le système et parvient à exécuter sa charge utile malveillante.
Une campagne d’hameçonnage ciblant des compagnies de cargos a tenté d’infiltrer les entreprises avec le malware LokiBot. LokiBot est un infostealer identifié pour la première fois en 2016 et conçu pour dérober des identifiants à partir de diverses applications, notamment via des navigateurs et des clients FTP. Les mails de hameçonnage utilisés dans la campagne contenaient un document Excel en pièce jointe invitant les utilisateurs à autoriser les macros.
Les attaquants ont exploité une vulnérabilité connue (CVE-2017-0199) de Microsoft Office, conduisant au téléchargement d’un document RTF. Ce document RTF exploite ensuite une autre vulnérabilité (CVE-2017-11882) pour distribuer et exécuter le logiciel malveillant LokiBot.