Les logiciels malveillants DarkGate et PikaBot sèment la panique dans les campagnes de phishing

« Il s’agit notamment de fils de courriels détournés pour l’infection initiale, d’URL avec des modèles uniques qui limitent l’accès de l’utilisateur et d’une chaîne d’infection presque identique à celle que nous avons observée avec la livraison de QakBot », a déclaré Cofense dans un rapport partagé avec The Hacker News.

« Les familles de logiciels malveillants utilisées correspondent également à ce que nous attendons des affiliés de QakBot.

QakBot, également appelé QBot et Pinkslipbot, a été démantelé dans le cadre d’un effort coordonné des forces de l’ordre sous le nom de code « Operation Duck Hunt » (chasse au canard) au début du mois d’août. L’utilisation de DarkGate et de PikaBot dans ces campagnes n’est pas surprenante, car ils peuvent tous deux servir de conduits pour livrer des charges utiles supplémentaires à des hôtes compromis, ce qui en fait une option attrayante pour les cybercriminels.

Les parallèles entre PikaBot et QakBot ont déjà été soulignés par Zscaler dans son analyse du logiciel malveillant en mai 2023, notant des similitudes dans les « méthodes de distribution, les campagnes et les comportements des logiciels malveillants ». DarkGate, pour sa part, incorpore des techniques avancées pour échapper à la détection par les systèmes antivirus, ainsi que des capacités d’enregistrement des frappes, d’exécution de PowerShell et de mise en œuvre d’un shell inversé qui permet à ses opérateurs de commander à distance un hôte infecté.

« La connexion est bidirectionnelle, ce qui signifie que les attaquants peuvent envoyer des commandes et recevoir des réponses en temps réel, ce qui leur permet de naviguer dans le système de la victime, d’exfiltrer des données ou d’effectuer d’autres actions malveillantes », explique Sekoia dans un nouveau rapport technique sur le logiciel malveillant.
L’analyse par Cofense de la campagne d’hameçonnage à grand volume montre qu’elle cible un large éventail de secteurs, les chaînes d’attaque propageant une URL piégée pointant vers une archive ZIP dans les fils de courriels détournés. L’archive ZIP contient un dropper JavaScript qui contacte une seconde URL pour télécharger et exécuter le malware DarkGate ou PikaBot. Une variante remarquable de ces attaques a été observée, utilisant des fichiers Excel add-in (XLL) à la place des droppers JavaScript pour délivrer les charges utiles finales.
« Une infection réussie par DarkGate ou PikaBot pourrait conduire à des outils de reconnaissance de logiciels d’extraction de crypto-monnaie, à des rançongiciels ou à tout autre fichier malveillant que les acteurs de la menace souhaiteraient installer sur la machine de la victime », a déclaré Cofense.