Attention choc : Le nouveau ransomware qui défie les antivirus en se cachant dans votre chargeur !




DarkGate : le ransomware redoutable qui contourne les défenses de sécurité traditionnelles

DarkGate : le ransomware redoutable qui contourne les défenses de sécurité traditionnelles

Les chercheurs du laboratoire informatique Kapersky ont récemment détecté un ransomware qu’ils ont baptisé DarkGate. Ce logiciel malveillant hypersophistiqué parvient à s’introduire dans les systèmes des victimes à travers un chargeur infecté. Lorsqu’il pénètre le système, le ransomware télécharge et installe divers autres programmes nuisibles par le biais d’un serveur distant, minutieusement orchestré par des cybercriminels. Ce n’est qu’après cette première phase que le redoutable DarkGate entre en action, cryptant de manière irréversible les documents stockés dans la mémoire du système compromis. Il enchaîne ensuite par une demande de rançon. Une approche astucieuse qui contourne les défenses de sécurité traditionnelles et les solutions antivirus.

Le mode opératoire se décline en 4 étapes

Les chercheurs ont identifié 17 variantes différentes de ce chargeur. Chacune d’entre elles a été déployée en fonction de diverses variables, telles que le type de processeur de l’ordinateur infecté. Une version spécifique du ransomware sera déployée en fonction de certaines variables, comme le processeur de l’ordinateur. « Le mode opératoire de DarkGate se déploie en une séquence d’infections en quatre étapes, soigneusement conçues pour aboutir à l’installation du ransomware DarkGate. » Kaspersky

Le Script de Téléchargement VBS

DarkGate commence par exécuter un script VBS qui crée un environnement complexe en définissant des variables d’environnement pour masquer ses actions. Le script télécharge deux fichiers, « Autoit3.exe » et « script.au3 », depuis un serveur de commande et de contrôle.

Lire cela :   Le MIT révolutionne la sécurité avec une étiquette inviolable à toute épreuve ! Découvrez la technologie révolutionnaire qui va changer la donne !

Le Script AutoIT V3

Le rançongiciel exécute ensuite un script AutoIT V3, un langage de script flexible souvent utilisé par les cybercriminels. Ce script obscurci alloue de la mémoire au « shellcode » intégré, capable de simuler des frappes au clavier et des mouvements de souris.

Le Shellcode

Le « shellcode » constitue la troisième étape, construisant un fichier exécutable. Concrètement, il crée un fichier PE en mémoire, résout les dépendances et importations de manière dynamique, commençant ainsi la prise de contrôle du système cible.

L’Exécuteur DarkGate

La dernière étape consiste en l’exécution du chargeur DarkGate. Celui-ci charge le fichier « script.au3 » en mémoire, identifie un segment chiffré appelé « blob », puis le déchiffre en utilisant une clé XOR et une opération NOT. Le chargeur DarkGate obtient ainsi le contrôle total du système cible.

Un dangereux ransomware polyvalent

L’enquête menée par Kaspersky a révélé que DarkGate possède un éventail de fonctionnalités redoutables. Tout d’abord, le ransomware est doté d’un Virtual Network Computing (VNC) dissimulé. Cette composante, invisible par l’utilisateur, permet à un hacker de prendre le contrôle de l’interface de l’ordinateur à distance. De plus, le ransomware a la capacité de « simuler les frappes clavier et les mouvements de la souris ». En outre, DarkGate utilise une fonctionnalité permettant de masquer les adresses et les caractéristiques des serveurs appartenant aux criminels. Comme nombre d’autres ransomwares reposant sur un chargeur malveillant, DarkGate est en mesure de tromper les systèmes antivirus. Les utilisateurs de discord sont particulièrement ciblés.

Les utilisateurs de Discord sont particulièrement ciblés

Les chercheurs ont d’ailleurs mis en évidence une fonctionnalité dont le but de contrecarrer Microsoft Defender, l’antivirus par défaut sur les PC Windows. En sus, DarkGate est en mesure de collecter l’historique de navigation de la victime à la suite de l’attaque. Enfin, le ransomware a la capacité de dérober des jetons d’authentification Discord, utilisés pour vérifier l’identité des utilisateurs sur cette plateforme. Bien sûr, un pirate ayant en sa possession un tel jeton peut prendre le contrôle du compte d’un utilisateur.

Lire cela :   Le virus destructeur qui a ravagé plus d'un million de systèmes Windows et Linux - Ne tombez pas victim !

DarkGate est en vente sur le Dark Web

DarkGate se démarque également par son processus de chiffrement unique, basé sur une version personnalisée du codage Base64. Ce dernier est utilisé pour convertir des données binaires en chaînes de caractères. En employant des caractères personnalisés, les cybercriminels ont transformé une méthode d’encodage facilement déchiffrable en un langage hautement chiffré. Selon l’enquête menée par Kaspersky, le développement de ce ransomware serait en cours depuis 2017. Sur un forum du dark web, un pirate affirme avoir consacré plus de 20 000 heures à l’élaboration de ce logiciel malveillant. Il a finalement choisi de le mettre en vente et d’en faire la promotion sur les recoins cachés d’Internet.

Une augmentation des attaques de ransomwares

Les attaques de ransomwares se sont récemment multipliées. Selon les conclusions de ReliaQuest, les pirates informatiques ont intensifié leurs activités à l’encontre des entreprises au cours du deuxième trimestre 2023. Les chercheurs ont relevé une hausse de 64,4 % du nombre de victimes. Le mois de mai 2023 a enregistré un sombre record, avec 600 victimes revendiquées par les cybercriminels. Déjà au trimestre précédent, une augmentation de 22,4 % des infections avait été constatée. Cette recrudescence s’explique par l’émergence de nouvelles tactiques sophistiquées. Notons également l’apparition de nouveaux groupes criminels tels que Royal, ainsi que la popularisation du modèle de service de ransomware (RaaS). Par ailleurs, plusieurs groupes redoutables sont demeurés très actifs au deuxième trimestre de cette année, comme LockBit. Ce dernier cible désormais les utilisateurs de Mac, ainsi que Clop.


Lire cela :   Découvrez les 17 fonctionnalités stupéfiantes de Google Assistant qui pourraient changer votre vie !
Alexandre Potins de stars

Laisser un commentaire