Les chercheurs du laboratoire informatique Kapersky ont récemment détecté un ransomware qu’ils ont baptisé DarkGate. Ce logiciel malveillant hypersophistiqué parvient à s’introduire dans les systèmes des victimes à travers un chargeur infecté.
Lorsqu’il pénètre le système, le ransomware télécharge et installe divers autres programmes nuisibles par le biais d’un serveur distant, minutieusement orchestré par des cybercriminels. Ce n’est qu’après cette première phase que le redoutable DarkGate entre en action, cryptant de manière irréversible les documents stockés dans la mémoire du système compromis. Il enchaîne ensuite par une demande de rançon. Une approche astucieuse qui contourne les défenses de sécurité traditionnelles et les solutions antivirus.
Le mode opératoire se décline en 4 étapes
Les chercheurs ont identifié 17 variantes différentes de ce chargeur. Chacune d’entre elles a été déployée en fonction de diverses variables, telles que le type de processeur de l’ordinateur infecté. Une version spécifique du ransomware sera déployée en fonction de certaines variables, comme le processeur de l’ordinateur.
« Le mode opératoire de DarkGate se déploie en une séquence d’infections en quatre étapes, soigneusement conçues pour aboutir à l’installation du ransomware DarkGate. »
Kaspersky
Le Script de Téléchargement VBS
DarkGate commence par exécuter un script VBS qui crée un environnement complexe en définissant des variables d’environnement pour masquer ses actions. Le script télécharge deux fichiers, « Autoit3.exe » et « script.au3 », depuis un serveur de commande et de contrôle.
Le Script AutoIT V3
Le rançongiciel exécute ensuite un script AutoIT V3, un langage de script flexible souvent utilisé par les cybercriminels. Ce script obscurci alloue de la mémoire au « shellcode » intégré, capable de simuler des frappes au clavier et des mouvements de souris.
Le Shellcode
Le « shellcode » constitue la troisième étape, construisant un fichier exécutable. Concrètement, il crée un fichier PE en mémoire, résout les dépendances et importations de manière dynamique, commençant ainsi la prise de contrôle du système cible.
L’Exécuteur DarkGate
La dernière étape consiste en l’exécution du chargeur DarkGate. Celui-ci charge le fichier « script.au3 » en mémoire, identifie un segment chiffré appelé « blob », puis le déchiffre en utilisant une clé XOR et une opération NOT. Le chargeur DarkGate obtient ainsi le contrôle total du système cible.
Un dangereux ransomware polyvalent
L’enquête menée par Kaspersky a révèlé que DarkGate possède un éventail de fonctionnalités redoutables. Tout d’abord, le ransomware est doté d’un Virtual Network Computing (VNC) dissimulé. Cette composante, invisible par l’utilisateur, permet à un hacker de prendre le contrôle de l’interface de l’ordinateur à distance.
De plus, le ransomware a la capacité de « simuler les frappes clavier et les mouvements de la souris ». En outre, DarkGate utilise une fonctionnalité permettant de masquer les adresses et les caractéristiques des serveurs appartenant aux criminels. Comme nombre d’autres ransomwares reposant sur un chargeur malveillant, DarkGate est en mesure de tromper les systèmes antivirus.
Les utilisateurs de discord sont particulièrement ciblés
Les chercheurs ont d’ailleurs mis en évidence une fonctionnalité dont le but de contrecarrer Microsoft Defender, l’antivirus par défaut sur les PC Windows. En sus, DarkGate est en mesure de collecter l’historique de navigation de la victime à la suite de l’attaque. Enfin, le ransomware a la capacité de dérober des jetons d’authentification Discord, utilisés pour vérifier l’identité des utilisateurs sur cette plateforme.
Bien sûr, un pirate ayant en sa possession un tel jeton peut prendre le contrôle du compte d’un utilisateur. À noter que ces jetons sont de plus en plus ciblés par les criminels informatiques. Dès 2021, les experts en sécurité de Sophos ont constaté une recrudescence des malwares ciblant les utilisateurs de Discord.
VOIR AUSSI : Mon ordinateur est attaqué par un logiciel malveillant : comment le supprimer ?
DarGate est en vente sur dark web
DarkGate se démarque également par son processus de chiffrement unique, basé sur une version personnalisée du codage Base64. Ce dernier est utilisé pour convertir des données binaires en chaînes de caractères. En employant des caractères personnalisés, les cybercriminels ont transformé une méthode d’encodage facilement déchiffrable en un langage hautement chiffré.
Selon l’enquête menée par Kaspersky, le développement de ce ransomware serait en cours depuis 2017. Sur un forum du dark web, un pirate affirme avoir consacré plus de 20 000 heures à l’élaboration de ce logiciel malveillant. Il a finalement choisi de le mettre en vente et d’en faire la promotion sur les recoins cachés d’Internet.
Les attaques aux ransomowares de plus en plus fréquentes dernièrement
Les attaques de ransomwares se sont récemment multipliées. Selon les conclusions de ReliaQuest, les pirates informatiques ont intensifié leurs activités à l’encontre des entreprises au cours du deuxième trimestre 2023. Les chercheurs ont relevé une hausse de 64,4 % du nombre de victimes. Le mois de mai 2023 a enregistré un sombre record, avec 600 victimes revendiquées par les cybercriminels. Déjà au trimestre précédent, une augmentation de 22,4 % des infections avait été constatée.
Cette recrudescence s’explique par l’émergence de nouvelles tactiques sophistiquées. Notons également l’apparition de nouveaux groupes criminels tels que Royal, ainsi que la popularisation du modèle de service de ransomware (RaaS). Par ailleurs, plusieurs groupes redoutables sont demeurés très actifs au deuxième trimestre de cette année, comme LockBit. Ce dernier cible désormais les utilisateurs de Mac, ainsi que Clop.
