Les campagnes de phishing proposant des familles de logiciels malveillants telles que DarkGate et PikaBot suivent les mêmes tactiques que celles précédemment utilisées dans les attaques exploitant le cheval de Troie QakBot, aujourd’hui disparu.
« Il s’agit notamment de fils de discussion piratés comme infection initiale, d’URL avec des modèles uniques qui limitent l’accès des utilisateurs et d’une chaîne d’infection presque identique à celle que nous avons vue avec la livraison QakBot », a déclaré Cofense. dit dans un rapport partagé avec The Hacker News.
« Les familles de logiciels malveillants utilisées correspondent également à ce que nous attendons des affiliés de QakBot. »
QakBot, également appelé QBot et Pinkslipbot, a été fermé au début du mois d’août dans le cadre d’un effort coordonné d’application de la loi baptisé Operation Duck Hunt.
L’utilisation de DarkGate et de PikaBot dans ces campagnes n’est pas surprenante, car ils peuvent tous deux servir de canal pour fournir des charges utiles supplémentaires aux hôtes compromis, ce qui en fait une option attrayante pour les cybercriminels.
Les parallèles entre PikaBot et QakBot ont déjà été soulignés par Zscaler dans son analyse du malware en mai 2023, notant des similitudes dans les « méthodes de distribution, les campagnes et les comportements des malwares ».
DarkGate, pour sa part, intègre des techniques avancées pour échapper à la détection par les systèmes antivirus, ainsi que des capacités permettant d’enregistrer les frappes au clavier, d’exécuter PowerShell et de mettre en œuvre un shell inversé qui permet à ses opérateurs de réquisitionner un hôte infecté à distance.
« La connexion est bidirectionnelle, ce qui signifie que les attaquants peuvent envoyer des commandes et recevoir des réponses en temps réel, leur permettant ainsi de naviguer dans le système de la victime, d’exfiltrer des données ou d’effectuer d’autres actions malveillantes », Sekoia dit dans un nouveau rapport technique sur le malware.
L’analyse réalisée par Cofense sur la campagne de phishing à grand volume montre qu’elle cible un large éventail de secteurs, les chaînes d’attaque propageant une URL piégée pointant vers une archive ZIP dans des fils de discussion de courrier électronique piratés.
L’archive ZIP contient un compte-gouttes JavaScript qui, à son tour, contacte une deuxième URL pour télécharger et exécuter le malware DarkGate ou PikaBot.
Une variante remarquable des attaques a été observée tirant parti des fichiers de complément Excel (XLL) au lieu des droppers JavaScript pour fournir les charges utiles finales.
« Une infection réussie par DarkGate ou PikaBot pourrait conduire à la fourniture d’un logiciel avancé d’extraction de cryptomonnaies, d’outils de reconnaissance, d’un ransomware ou de tout autre fichier malveillant que les acteurs malveillants souhaitent installer sur la machine d’une victime », a déclaré Cofense.