Après une courte pause au cours des deux dernières semaines, le Centre national de cybersécurité (NCSC) a de nouveau attiré l'attention sur une augmentation des e-mails dangereux. Ces e-mails utilisent des passages de texte de correspondances électroniques antérieures pour faire croire aux destinataires qu'une prise de contact a déjà eu lieu auparavant. Comme l'expéditeur et la communication précédente sont tous deux familiers à la victime, la probabilité que celle-ci clique sur un lien contenu dans l'e-mail augmente, ce qui entraîne l'installation d'un logiciel malveillant. En l'occurrence, il s'agit de "DarkGate", un logiciel malveillant doté de fonctions avancées et d'un mécanisme d'invitation de ransomware.
La tactique de la tromperie : l'ancienne communication par e-mail comme arme
La méthode consistant à utiliser d'anciens historiques de communication pour réaliser des manœuvres de tromperie n'est pas une nouveauté. En 2019 déjà, le malware "Emotet" utilisait cette technique, connue sous le nom de "dynamit-phishing", pour inciter les victimes à ouvrir un document. Le logiciel malveillant recherchait des e-mails dans les fichiers Outlook des victimes sur les appareils infectés et les utilisait pour envoyer le logiciel malveillant à d'autres victimes potentielles. L'ancienne communication étant connue du destinataire, la probabilité d'ouverture de la pièce jointe malveillante augmentait.
L'héritage du logiciel malveillant "Emotet" et la suite avec "Qakbot
Après la désactivation temporaire du réseau "Emotet" début 2021, le malware "Qakbot" a repris cette méthode en utilisant l'ancienne communication. Bien que "Qakbot" ait été utilisé depuis plus de dix ans, il a été diffusé temporairement via le réseau "Emotet" en tant que module malveillant supplémentaire. Il est intéressant de noter qu'au cours de l'été 2020, les auteurs de "Qakbot" ont mis en œuvre un module dit de "collecte d'e-mails", qui utilisait des données d'accès volées pour extraire des e-mails des clients Microsoft Outlook des victimes et les utiliser pour d'autres attaques.
En août 2023, "Qakbot" a connu un sort similaire à celui d'"Emotet". Les autorités de poursuite pénale aux États-Unis et en Europe ont pris le contrôle de l'infrastructure de commande et de contrôle du réseau de zombies. Les pirates ont ainsi perdu le contrôle des ordinateurs infectés. Les commanditaires n'ont toutefois pas été arrêtés et l'infrastructure de spam n'a été que partiellement démantelée.
Rise of "DarkGate" : une nouvelle menace avec des fonctionnalités avancées
Ces dernières semaines, l'attention s'est portée sur "DarkGate", car ce logiciel malveillant utilise la technique des anciennes communications. Dans ce cas, le message de spam est accompagné d'un document PDF contenant un lien vers le maliciel.
"DarkGate" est actif depuis 2017, mais ce n'est que cet été que le malware a acquis une plus grande notoriété, lorsque le prétendu développeur a annoncé de nouvelles fonctionnalités. Ces fonctions vont au-delà de celles d'un téléchargeur traditionnel et comprennent un accès à distance caché, un proxy inverse et un voleur de jetons Discord, ainsi que la capacité de voler l'historique du navigateur. On suppose que les groupes criminels qui utilisaient auparavant "Qakbot" sont désormais passés à "DarkGate".
Ancienne communication, nouveaux abus
Il est à noter que dans les dernières variantes du maliciel, la communication utilisée est parfois très ancienne. Dans le cas présent, elle date de 2017. On peut donc supposer que le maliciel n'intercepte actuellement aucune communication par courriel récente, mais qu'il utilise des bases de données volées il y a plusieurs années par d'autres acteurs.
Selon un rapport du prestataire de services de sécurité Trendmicro, le "DarkGate" utilise en outre d'autres voies de communication et se propage par exemple via des comptes Skype et Microsoft Teams piratés. Comme pour la tactique de l'e-mail, le compte Skype compromis a déjà eu un contact préalable avec la victime et met apparemment un fichier PDF à sa disposition. En réalité, il s'agit toutefois d'un script VB (Visual Basic Script) malveillant. Ce script tente ensuite de télécharger et d'installer le logiciel malveillant.
Le NCSC donne les conseils suivants pour se protéger contre les infections par des logiciels malveillants :
- Soyez conscient que e-mails malveillants peuvent également provenir d'expéditeurs qui vous semblent familiers.
- Soyez vigilant lorsqu'une communication précédemment interrompue reprend de manière inattendue.
- Ouvrez les pièces jointes des e-mails avec prudence, même si elles proviennent de sources prétendument fiables.
Preuve de la source
Cette information a été reprise avec l'aimable autorisation du Centre national de cybersécurité (NCSC). Visitez le site web officiel du NCSC pour obtenir des informations complémentaires et des ressources sur la cybersécurité : https://www.ncsc.admin.ch/ncsc/de/home.html.