DarkGate est un cheval de Troie d’accès à distance (RAT), utilisé dans des attaques depuis au moins 2018 et actuellement disponible en malware-as-a-Service (MaaS). Il dispose d’une base d’utilisateurs diversifiée et a été utilisé dans plusieurs types d’attaques : vol d’informations, cryptojacking ou encore ransomware.

Les chercheurs de WithSecure™ ont débuté leur enquête sur DarkGate après avoir détecté de multiples tentatives d’infection contre des organisations au Royaume-Uni, aux États-Unis et en Inde.

Sur la base d’indicateurs non techniques (leurres, thèmes, ciblage, méthodes de livraison), les chercheurs de WithSecure™ ont pu imputer ces tentatives d’attaques aux mêmes cybercriminels qui ont utilisé Ducktail, un infostealer qu’ils surveillent depuis environ un an et demi.

« Les attaques DarkGate que nous avons observées présentent des caractéristiques très particulières, qui nous ont permis d’établir des liens avec de précédentes attaques comme certaines utilisant Ducktail. Il est très probable qu’une seule et unique entité soit derrière ces campagnes ciblant les comptes Meta Business », a déclaré Stephen Robinson, Senior Threat Intelligence Analyst chez WithSecure™.

Ce groupe de cybercriminels utiliserait notamment Ducktail, Lobshot et Redline Stealer. Les leurres et fichiers malveillants utilisés dans leurs différentes campagnes présentent les métadonnées identifiables suivantes :

• ID LNK Drive
• Informations relatives au compte Canva PDF
• Métadonnées du fichier MSI

Comme l’explique Stephen Robinson, compte tenu du développement de la criminalité as-a-service, il n’est plus possible d’attribuer une attaque à un groupe de hackers sur la simple base du malware utilisé.

« DarkGate existe depuis longtemps et est utilisé par de nombreux cybercriminels, pas seulement par ce groupe basé au Vietnam. Désormais, les cybercriminels sont susceptibles d’utiliser plusieurs outils pour la même campagne, ce qui peut masquer l’étendue réelle de leur activité dans le cas d’une simple analyse par malware » ajoute-t-il.