Les attaques exploitant le logiciel malveillant DarkGate ciblant des entités au Royaume-Uni, aux États-Unis et en Inde ont été liées à des acteurs vietnamiens associés à l’utilisation du tristement célèbre voleur Ducktail.
« Le chevauchement des outils et des campagnes est très probablement dû aux effets du marché de la cybercriminalité », WithSecure dit dans un rapport publié aujourd’hui. « Les acteurs malveillants sont capables d’acquérir et d’utiliser plusieurs outils différents dans le même but, et tout ce qu’ils ont à faire est de proposer des cibles, des campagnes et des leurres. »
Ce développement intervient au milieu d’une augmentation des campagnes de malware utilisant DarkGate au cours des derniers mois, principalement motivée par la décision de son auteur de le louer sur une base de malware-as-a-service (MaaS) à d’autres acteurs malveillants après l’avoir utilisé à titre privé depuis 2018.
Il ne s’agit pas seulement de DarkGate et Ducktail, car le groupe d’acteurs menaçants vietnamiens responsable de ces campagnes exploite des leurres, des thèmes, un ciblage et des méthodes de diffusion identiques ou très similaires pour diffuser également LOBSHOT et Voleur RedLine.
Les chaînes d’attaque distribuant DarkGate se caractérisent par l’utilisation de scripts AutoIt récupérés via un Visual Basic Script envoyé via des emails de phishing ou des messages sur Skype ou Microsoft Teams. L’exécution du script AutoIt entraîne le déploiement de DarkGate.
Dans ce cas, cependant, le vecteur d’infection initial était un message LinkedIn redirigeant la victime vers un fichier hébergé sur Google Drive, une technique couramment utilisée par les acteurs de Ducktail.
« Des thèmes de campagne et des leurres très similaires ont été utilisés pour proposer Ducktail et DarkGate », a déclaré WithSecure, bien que la fonction de l’étape finale diffère dans une large mesure.
Alors que Ducktail fonctionne comme un voleur, DarkGate est un cheval de Troie d’accès à distance (RAT) doté de capacités de vol d’informations qui établissent également une persistance secrète sur les hôtes compromis pour un accès par porte dérobée.
« DarkGate existe depuis longtemps et est utilisé par de nombreux groupes à des fins différentes, et pas seulement par ce groupe ou cluster au Vietnam », a déclaré le chercheur en sécurité Stephen Robinson, analyste principal des renseignements sur les menaces chez WithSecure.
« Le revers de la médaille est que les acteurs peuvent utiliser plusieurs outils pour la même campagne, ce qui pourrait masquer la véritable étendue de leur activité à partir d’une analyse purement basée sur les logiciels malveillants. »