Actualités

Des pirates informatiques vietnamiens ciblent le Royaume-Uni, les États-Unis et l'Inde avec le malware DarkGate

Attaque DarkGate du Vietnam
Sommaire Une menace croissante en cybersécuritéLes dessous de l’attaqueL’essor de DarkGateDes similitudes troublantesLes méthodes d’attaque

Une menace croissante en cybersécurité

Le 20 octobre 2023, des attaques exploitant le malware de commodité DarkGate ont été identifiées, ciblant des entités au Royaume-Uni, aux États-Unis et en Inde. Ces attaques ont été attribuées à des acteurs vietnamiens associés à l’utilisation du célèbre voleur Ducktail. Cette situation inquiétante souligne l’évolution constante des menaces en ligne.

Sécurisez votre infrastructure

Nos experts en cybersécurité sont là pour vous aider à renforcer la sécurité de votre entreprise face aux dernières menaces.

Contactez nos experts en cybersécurité

Les dessous de l’attaque

Le chevauchement d’outils et de campagnes est très probablement dû aux effets d’un marché criminel sur Internet, comme l’a souligné WithSecure dans un rapport publié récemment. Les acteurs de la menace sont de plus en plus capables d’acquérir et d’utiliser divers outils pour atteindre leurs objectifs.

L’essor de DarkGate

L’utilisation croissante de DarkGate dans des campagnes de logiciels malveillants ces derniers mois est en grande partie due à la décision de son auteur de le proposer en tant que service de logiciel malveillant (Malware-as-a-Service, MaaS) à d’autres acteurs de la menace. Après l’avoir utilisé en privé depuis 2018, DarkGate est devenu un outil populaire parmi les cybercriminels.

Demandez votre audit gratuit

Des similitudes troublantes

Il n’y a pas que DarkGate et Ducktail dans cette affaire. Le groupe d’acteurs de la menace vietnamienne responsable de ces campagnes utilise également des leurres, des thèmes, des cibles et des méthodes de distribution similaires, voire identiques, pour délivrer d’autres malwares, tels que LOBSHOT et RedLine Stealer.

Les méthodes d’attaque

Les chaînes d’attaques distribuant DarkGate se caractérisent par l’utilisation de scripts AutoIt récupérés via un script Visual Basic envoyé par le biais de courriels de phishing ou de messages sur Skype ou Microsoft Teams. L’exécution du script AutoIt conduit au déploiement de DarkGate. Dans un cas récent, le vecteur d’infection initial était un message LinkedIn qui redirigeait la victime vers un fichier hébergé sur Google Drive, une technique couramment utilisée par les acteurs de Ducktail.

Découvrez également notre article sur l’attaque ransomware en Suisse et la fuite de données des Hooligans.

FAQ

Quelles sont les cibles de ces attaques?

Les attaques ciblent des entités au Royaume-Uni, aux États-Unis et en Inde.

Comment se protéger contre DarkGate?

Parmi les mesures de sécurité recommandées, on peut citer l'utilisation de pare-feu, de solutions de détection des intrusions, et la formation des employés à la reconnaissance des menaces.

Quelles sont les recommandations de sécurité suite à cet incident ?

Activer l'authentification multi-facteurs, surveiller les changements inattendus de mot de passe et MFA, et vérifier les politiques d'expiration des sessions.

Existe-t-il des outils de détection pour DarkGate?

Oui, il existe des solutions de sécurité qui peuvent détecter les activités suspectes liées à DarkGate. Il est recommandé de mettre en place des outils de détection et de réponse de type IDS et IPS pour renforcer la sécurité.
Demandez de l'aide à nos experts

Reprenez le contrôle de votre parc informatique dès aujourd’hui

Audit gratuit en 3min