Logo de ORC Webhosting

Hameçonnage à la dynamite - Emotet Qakbot au DarkGate

Alertes et informations du Centre national de cybersécurité NCSC

Après une courte pause au cours des deux dernières semaines, le Centre national de cybersécurité (NCSC) a de nouveau attiré l'attention sur une augmentation des e-mails dangereux. Ces e-mails utilisent des passages de texte de correspondances électroniques antérieures pour faire croire aux destinataires qu'une prise de contact a déjà eu lieu auparavant. Comme l'expéditeur et la communication précédente sont tous deux familiers à la victime, la probabilité que celle-ci clique sur un lien contenu dans l'e-mail augmente, ce qui entraîne l'installation d'un logiciel malveillant. En l'occurrence, il s'agit de "DarkGate", un logiciel malveillant doté de fonctions avancées et d'un mécanisme d'invitation de ransomware.

La tactique de la tromperie : l'ancienne communication par e-mail comme arme

La méthode consistant à utiliser d'anciens historiques de communication pour réaliser des manœuvres de tromperie n'est pas une nouveauté. En 2019 déjà, le malware "Emotet" utilisait cette technique, connue sous le nom de "dynamit-phishing", pour inciter les victimes à ouvrir un document. Le logiciel malveillant recherchait des e-mails dans les fichiers Outlook des victimes sur les appareils infectés et les utilisait pour envoyer le logiciel malveillant à d'autres victimes potentielles. L'ancienne communication étant connue du destinataire, la probabilité d'ouverture de la pièce jointe malveillante augmentait.

L'héritage du logiciel malveillant "Emotet" et la suite avec "Qakbot

Après la désactivation temporaire du réseau "Emotet" début 2021, le malware "Qakbot" a repris cette méthode en utilisant l'ancienne communication. Bien que "Qakbot" ait été utilisé depuis plus de dix ans, il a été diffusé temporairement via le réseau "Emotet" en tant que module malveillant supplémentaire. Il est intéressant de noter qu'au cours de l'été 2020, les auteurs de "Qakbot" ont mis en œuvre un module dit de "collecte d'e-mails", qui utilisait des données d'accès volées pour extraire des e-mails des clients Microsoft Outlook des victimes et les utiliser pour d'autres attaques.

En août 2023, "Qakbot" a connu un sort similaire à celui d'"Emotet". Les autorités de poursuite pénale aux États-Unis et en Europe ont pris le contrôle de l'infrastructure de commande et de contrôle du réseau de zombies. Les pirates ont ainsi perdu le contrôle des ordinateurs infectés. Les commanditaires n'ont toutefois pas été arrêtés et l'infrastructure de spam n'a été que partiellement démantelée.

Rise of "DarkGate" : une nouvelle menace avec des fonctionnalités avancées

Ces dernières semaines, l'attention s'est portée sur "DarkGate", car ce logiciel malveillant utilise la technique des anciennes communications. Dans ce cas, le message de spam est accompagné d'un document PDF contenant un lien vers le maliciel.

"DarkGate" est actif depuis 2017, mais ce n'est que cet été que le malware a acquis une plus grande notoriété, lorsque le prétendu développeur a annoncé de nouvelles fonctionnalités. Ces fonctions vont au-delà de celles d'un téléchargeur traditionnel et comprennent un accès à distance caché, un proxy inverse et un voleur de jetons Discord, ainsi que la capacité de voler l'historique du navigateur. On suppose que les groupes criminels qui utilisaient auparavant "Qakbot" sont désormais passés à "DarkGate".

Ancienne communication, nouveaux abus

Il est à noter que dans les dernières variantes du maliciel, la communication utilisée est parfois très ancienne. Dans le cas présent, elle date de 2017. On peut donc supposer que le maliciel n'intercepte actuellement aucune communication par courriel récente, mais qu'il utilise des bases de données volées il y a plusieurs années par d'autres acteurs.

E-mail contenant un fichier PDF malveillant faisant référence à une ancienne communication datant de 2017.
E-mail contenant un fichier PDF malveillant faisant référence à une ancienne communication datant de 2017.
Lors de l'ouverture du fichier PDF, il est demandé d'appuyer sur le bouton "Open". On est ensuite dirigé vers le téléchargement du logiciel malveillant.
Lors de l'ouverture du fichier PDF, il est demandé d'appuyer sur le bouton "Open". On est ensuite dirigé vers le téléchargement du logiciel malveillant.

Selon un rapport du prestataire de services de sécurité Trendmicro, le "DarkGate" utilise en outre d'autres voies de communication et se propage par exemple via des comptes Skype et Microsoft Teams piratés. Comme pour la tactique de l'e-mail, le compte Skype compromis a déjà eu un contact préalable avec la victime et met apparemment un fichier PDF à sa disposition. En réalité, il s'agit toutefois d'un script VB (Visual Basic Script) malveillant. Ce script tente ensuite de télécharger et d'installer le logiciel malveillant.

Le NCSC donne les conseils suivants pour se protéger contre les infections par des logiciels malveillants :

  1. Soyez conscient que e-mails malveillants peuvent également provenir d'expéditeurs qui vous semblent familiers.
  2. Soyez vigilant lorsqu'une communication précédemment interrompue reprend de manière inattendue.
  3. Ouvrez les pièces jointes des e-mails avec prudence, même si elles proviennent de sources prétendument fiables.

Preuve de la source

Cette information a été reprise avec l'aimable autorisation du Centre national de cybersécurité (NCSC). Visitez le site web officiel du NCSC pour obtenir des informations complémentaires et des ressources sur la cybersécurité : https://www.ncsc.admin.ch/ncsc/de/home.html.

Image de Silvio Mazenauer

Silvio Mazenauer

Depuis plus de 20 ans, j'aide nos clients à s'y retrouver avec l'hébergement web, les domaines, les sites web ou cPanel. Et je suis là pour t'aider aussi.

Reste à jour :

Tu trouveras ici des informations utiles et intéressantes sur les domaines, l'hébergement web, le référencement, WordPress et bien plus encore. ....

Également intéressant

Hébergement rapide de WordPress pour ton site web

Développe le plein potentiel de ton site web avec notre hébergement WordPress performant

Ta plateforme de travail numérique GRATUITE. Avec XtraMail, ton bureau t'accompagne partout.

Vivez votre email comme jamais auparavant avec XtraMail.

Ta solution de messagerie pour les particuliers et les entreprises : XtraMail Webmail. Avec des e-mails, des vidéoconférences, des documents, des calendriers, des contacts et une application mobile - plus plus de 40 autres fonctions utiles.

xtramail webmail teamwork