DarkGate : ce qu’il faut savoir sur ce maliciel
Apparu autour de 2018, ce logiciel malveillant commercialisé en mode service présente un vaste éventail fonctionnel. Il apparaît particulièrement prisé des cybercriminels depuis l’été 2023.
La première référence à DarkGate remonte à l’automne 2018. À l’époque, les équipes de Fortinet le décrivent ainsi : « ciblant les postes de travail Windows et s’appuyant sur un système de commande et de contrôle réactif, le logiciel malveillant DarkGate se propage par le biais de fichiers torrent. Lorsqu’il est exécuté par l’utilisateur, le malware DarkGate est capable d’éviter d’être détecté par plusieurs produits antivirus et d’exécuter diverses charges utiles, notamment pour le minage de cryptomonnaie [du monero, avec XMRig, N.D.L.R.], le vol de cryptomonnaie, le ransomware et la prise de contrôle à distance du poste de travail ».
On retrouve donc là les caractéristiques d’un véritable couteau suisse du piratage, avec des capacités de loader – pour télécharger et activer des charges utiles à la demande –, de cheval de Troie, ou encore d’infostealer, entre autres.
Ce maliciel utilisait alors une infrastructure de commande et de contrôle (C2) « dissimulée dans des enregistrements DNS légitimes provenant de services légitimes, notamment les CDN Akamai et AWS, ce qui lui permet d’éviter les techniques de détection basées sur la réputation ».
Aussi appelé MehCrypter, DarkGate a fait l’objet d’une publicité active de son auteur, sur un forum fréquenté notamment par des cybercriminels, au mois de juin 2023 : il y est alors proposé en mode service, pour 1 000 $ la journée, 15 000 $ par mois, ou 100 000 $ à l’année.
À partir de ce moment-là, et plus encore à l’issue de la mise à la retraite – forcée et temporaire – de Qakbot, l’activité liée à DarkGate augmente significativement. Spamhaus estime que DarkGate a émergé, avec Pikabot, parmi les nouveaux chouchous des cybercriminels. Chez Cofence, Dylan Duncan se demandait déjà, fin novembre dernier, si DarkGate et Pikabot ne constituaient pas le « nouveau Qakbot ».
Toujours à l’automne dernier, les équipes de Sekoia.io se penchaient sur DarkGate, relevant notamment son utilisation par l’acteur malveillant suivi sous la référence TA577. Pour quoi est-il connu ? Proofpoint indique qu’il « distribue des charges virales telles que Qbot, IceID, SystemBC, SmokeLoader, Ursnif et Cobalt Strike ». Et d’ajouter être « presque certain de l’implication de TA577 dans l’infection du ransomware Sodinokibi survenue en mars 2021 ».
L’un des composants clés de la chaîne d’infection de DarkGate est un script AutoIT v3, analysé en détail par le chercheur 0xToxin, début août 2023. C’est lui qui assure le chargement et l’exécution de DarkGate. Mais la manière dont il parvient à l’ordinateur de la victime varie sensiblement d’un cas à l’autre.
Comment est-il distribué ?
Le mode de distribution de DarkGate a évolué et s’est diversifié au fil des mois. Au mois d’août dernier, les équipes de renseignement sur les menaces de Deutsche Telekom indiquaient avoir observé une chaîne d’infection dans laquelle la charge utile initiale était cachée dans un paquet d’installation Windows msi : « les victimes obtiennent ce fichier en cliquant sur un lien contenu dans un message d’hameçonnage qu’elles ont reçu. Ce lien pointe initialement vers ce qui est probablement un système de distribution de trafic (TDS). Si les conditions fixées par l’attaquant sont remplies, le TDS redirige l’utilisateur victime vers l’URL de la charge utile finale pour le téléchargement du MSI. Lorsque l’utilisateur ouvre le fichier MSI téléchargé, l’infection par DarkGate est déclenchée ».
Mais ce n’est pas tout : dans d’autres cas, c’est un script Visual Basic qui est à l’origine de la chaîne d’infection. Là, mystère sur le mode de distribution initial, mais « le script, qui est maquillé et contient du code leurre, invoque finalement le binaire curl préinstallé dans Windows pour télécharger l’exécutable AutoIT et le fichier script à partir d’un serveur contrôlé par l’attaquant ».
Un peu plus tard, les équipes de Truesec documentent ce qui pourrait avoir été le mode de distribution initial, amenant au script Visual Basic : un message envoyé dans l’application collaborative Teams avec un lien pour télécharger une archive Zip – fin novembre, les équipes de Trellix expliqueront y avoir été elles-mêmes confrontées. L’archive contient un fichier LNK, un raccourci, maquillé en fichier PDF : son ouverture déclenche l’exécution du script Visual Basic.
Un mois plus tard, les équipes de Trend Micro ajoutent à cela un autre vecteur de distribution du script Visual Basic malicieux : via un message dans Skype.
Début novembre, les équipes de Netskope documentent un autre vecteur de distribution : un e-mail frauduleux habillé aux couleurs de DocuSign et prétendant conduire au téléchargement d’un fichier PDF. En réalité, c’est d’un fichier CAB qu’il s’agit : « le fichier CAB contient un raccourci Internet qui, une fois exécuté, télécharge un fichier MSI sur la machine infectée ». Retour, donc, à la case paquet d’installation pour Windows.
Au même moment, les équipes d’eSentire lèvent le voile sur un autre mode de distribution : le malvertising. Et d’expliquer : « l’utilisateur, qui recherchait de l’argent non réclamé, s’est rendu sur le site malveillant via Google Ads et a téléchargé un faux rapport généré automatiquement sous la forme d’une archive ZIP contenant le script VBS malveillant ». Ce dernier récupère un… paquet MSI qui reprend la suite de la chaîne d’infection.
Fin décembre, Proofpoint évoque un autre mode de distribution : de prétendues mises à jour bien évidemment fausses.