Un logiciel malveillant connu sous le nom de Porte Sombre a été observé se propageant via des plateformes de messagerie instantanée telles que Skype et Microsoft Teams.
Dans ces attaques, les applications de messagerie sont utilisées pour délivrer un Visual Basic pour Applications (VBA) script de chargement qui se fait passer pour un document PDF et qui, une fois ouvert, déclenche le téléchargement et l’exécution d’un script AutoIt conçu pour lancer le malware.
« On ne sait pas exactement comment les comptes d’origine des applications de messagerie instantanée ont été compromis, mais on suppose que cela est dû soit à une fuite d’informations d’identification disponibles sur des forums clandestins, soit à une compromission précédente de l’organisation mère », a déclaré Trend Micro. dit dans une nouvelle analyse publiée jeudi.
DarkGate, documenté pour la première fois par Fortinet en novembre 2018, est un malware standard qui intègre un large éventail de fonctionnalités permettant de collecter des données sensibles à partir des navigateurs Web, d’effectuer une extraction de cryptomonnaie et de permettre à ses opérateurs de contrôler à distance les hôtes infectés. Il fonctionne également comme un téléchargeur de charges utiles supplémentaires telles que Remcos RAT.
Les campagnes d’ingénierie sociale distribuant le malware ont connu une forte augmentation ces derniers mois, tirant parti de tactiques d’entrée initiales telles que les e-mails de phishing et l’empoisonnement de l’optimisation des moteurs de recherche (SEO) pour inciter les utilisateurs involontaires à l’installer.
Cette hausse fait suite à la décision de l’auteur du malware de faire la publicité de son malware sur des forums clandestins et de le louer sous forme de malware en tant que service à d’autres acteurs malveillants après des années d’utilisation privée.
L’utilisation du message de discussion de Microsoft Teams comme vecteur de propagation pour DarkGate a déjà été soulignée par Truesec au début du mois dernier, indiquant qu’il est probablement utilisé par plusieurs acteurs malveillants.
La majorité des attaques ont été détectées sur le continent américain, suivi de près par l’Asie, le Moyen-Orient et l’Afrique, selon Trend Micro.
La procédure globale d’infection abusant de Skype et de Teams ressemble beaucoup à une campagne de spam signalée par Telekom Security fin août 2023, à l’exception du changement de la voie d’accès initiale.
« L’auteur de la menace a abusé de la relation de confiance entre les deux organisations pour inciter le destinataire à exécuter le script VBA ci-joint », ont déclaré Trent Bessell, Ryan Maglaque, Aira Marcelo, Jack Walsh et David Walsh, chercheurs de Trend Micro.
« L’accès au compte Skype de la victime a permis à l’acteur de détourner un fil de discussion existant et d’élaborer la convention de dénomination des fichiers en fonction du contexte de l’historique des discussions. »
Le script VBA sert de canal pour récupérer l’application AutoIt légitime (AutoIt3.exe) et un script AutoIT associé responsable du lancement du malware DarkGate.
Une séquence d’attaque alternative implique que les attaquants envoient un message Microsoft Teams contenant une pièce jointe d’archive ZIP contenant un fichier LNK qui, à son tour, est conçu pour exécuter un script VBA pour récupérer AutoIt3.exe et l’artefact DarkGate.
« Les cybercriminels peuvent utiliser ces charges utiles pour infecter les systèmes avec divers types de logiciels malveillants, notamment des voleurs d’informations, des ransomwares, des outils de gestion à distance malveillants et/ou abusés et des mineurs de cryptomonnaie », ont expliqué les chercheurs.
« Tant que la messagerie externe est autorisée ou que l’abus de relations de confiance via des comptes compromis n’est pas contrôlé, cette technique de saisie initiale peut être effectuée vers et avec n’importe quelle application de messagerie instantanée. »