Détection d’attaque de malware DarkGate : Le phishing vocal via Microsoft Teams mène à la distribution de malware
Table des matières :
Les chercheurs ont découvert une nouvelle campagne malveillante utilisant le phishing vocal (vishing) pour diffuser le malware DarkGate. Dans cette attaque, les adversaires se faisaient passer pour le client connu lors d’un appel Microsoft Teams, trompant les victimes pour qu’elles téléchargent AnyDesk pour un accès à distance et déployer davantage de logiciels malveillants.
Détecter les attaques de malware DarkGate
Au début de l’été 2024, la technique de vishing a été utilisée dans des cyberattaques suivies par la distribution d’outils offensifs, y compris des utilitaires à distance. En décembre, les acteurs de la menace ont de nouveau profité de l’usurpation d’identité via le vishing visant l’infection par le malware DarkGate. La plateforme SOC Prime pour la défense cybernétique collective équipe les équipes de sécurité de technologies et solutions de pointe pour faire face aux cybermenaces, quelle que soit leur échelle et leur sophistication.
Appuyez sur Explorer les Détections pour accéder à la collection complète de règles Sigma pour la détection du malware DarkGate. Bénéficiez de CTI actionnables, de l’alignement avec MITRE ATT&CK, et des capacités automatisées pour convertir le code de détection dans le format de langage de requête requis correspondant à plus de 30 plateformes d’analytique de sécurité.
Analyse du Malware DarkGate : Attaques par Vishing
Les chercheurs de Trend Micro ont enquêté sur un incident de cybersécurité dans lequel des adversaires ont utilisé le vishing via un appel Microsoft Teams pour se déguiser en client de l’utilisateur et obtenir un accès à distance au système ciblé. Les attaquants ont également attiré les victimes potentielles à télécharger le logiciel de bureau à distance AnyDesk, qui a ensuite été exploité pour déployer le malware DarkGate. Distribué via un script AutoIt, DarkGate a facilité la prise de contrôle à distance du système, l’exécution de commandes offensives, la collecte des données système et la connexion à un serveur C2.
Lors de la phase initiale de l’attaque, les hackers ont utilisé l’ingénierie sociale pour obtenir l’accès au système. La victime a d’abord reçu des milliers d’emails, suivis d’un appel Microsoft Teams d’une personne se faisant passer pour un fournisseur externe. Les adversaires n’ont pas réussi à tromper les utilisateurs ciblés pour installer une application Microsoft Remote Support mais ont réussi à les inciter à télécharger AnyDesk via un navigateur et à saisir leurs identifiants.
Après l’installation d’AnyDesk, les attaquants ont pu opérer avec des privilèges élevés au sein du système compromis et ont déposé plusieurs fichiers suspects, y compris le charge utile Trojan.AutoIt.DARKGATE.D. Le script de charge utile AutoIt crypté s’est déchiffré en mémoire sous forme de code shell et s’est injecté dans des processus légitimes comme MicrosoftEdgeUpdateCore.exe. Ce processus a servi de proxy pour charger et exécuter le script A3x DarkGate, qui a ensuite facilité le chargement d’échantillons malveillants supplémentaires pour les étapes suivantes de l’attaque.
Les adversaires ont aussi créé des fichiers furtifs et une entrée de registre sur la machine de la victime pour établir la persistance et contourner la détection. Ils ont également utilisé le chargement latéral de DLL pour rester inaperçus. Malgré les efforts offensifs, l’attaque a été arrêtée avant que les adversaires ne puissent atteindre leurs objectifs, sans preuve d’exfiltration de données.
En tant que mesures recommandées d’atténuation du malware DarkGate, les équipes sont encouragées à examiner attentivement les prestataires de support technique tiers et à vérifier les affiliations de tout fournisseur avant d’accorder un accès à distance aux systèmes, à établir des processus de vérification des outils d’accès à distance en cloud pour évaluer la sécurité et la réputation, à mettre sur liste blanche les outils approuvés, bloquer les suspects, et à mettre en œuvre l’authentification multi-facteurs pour des couches supplémentaires de protection.
Le flux d’attaque en plusieurs étapes du malware DarkGate souligne l’importance de fortes mesures de sécurité et d’une vigilance accrue contre les attaques d’ingénierie sociale. Pour adresser la fréquence et la variété croissantes des campagnes malveillantes utilisant le vishing et autres techniques d’adversaires, les entreprises peuvent se fier à la suite complète de produits de SOC Prime pour l’ingénierie de détection alimentée par l’IA, la chasse aux menaces automatisée, et la détection avancée des menaces tout en assurant une défense cybernétique de premier ordre.
