Malware sur Teams : attention à la campagne de phishing avec DarkGate

Malware sur Teams : attention à la campagne de phishing avec DarkGate

Méfiez-vous messages que vous recevez sur Microsoft Teams en ce moment ! Une campagne de phishing est en cours, prétextant une modification de planning de vacances pour infecter votre appareil avec le dangereux malware DarkGate.

En tant qu'outil bureautique de travail collaboratif, Microsoft Teams inspire la confiance à ses utilisateurs, qui ne se méfient pas forcément des messages qu'ils reçoivent dessus – après tout, c'est pour le travail ! Et ça, les cybercriminels l'ont bien compris ! Aussi ont-ils décidé de tirer parti de ce capital confiance. Les chercheurs de Truesec ont repéré une campagne de phishing qui frappe les utilisateurs du service de Microsoft depuis fin août 2023. En effet, des hackers envoient des messages d'hameçonnage aux adresses de différentes organisations, par le biais de deux comptes Office 365 piratés, invitant les victimes à télécharger ou à ouvrir un fichier ZIP intitulé "Modifications du calendrier des vacances", en apparence envoyé par les ressources humaines de l'entreprise. En réalité, il contient un dangereux malware du nom de DarkGate.

DarkGate : un malware dangereux et bien dissimulé

En cliquant sur la pièce jointe, la victime déclenche le téléchargement d'un fichier compressé à partir d'une URL Microsoft SharePoint – cela signifie donc qu'il est hébergé sur un serveur sécurisé de la firme de Redmond, afin de permettre à l'entreprise de partager des documents et des informations entre collègues, partenaires et clients. Là encore, il s'agit d'endormir la vigilance de la cible. Or, ce fichier ZIP contient un fichier LNK qui se fait passer pour un document PDF. En l'analysant, les chercheurs ont découvert qu'il s'agit en réalité d'un code malveillant VBScript, qui déclenche le téléchargement du malware DarkGate à partir d'un serveur distant. Pour échapper à la détection, le processus de téléchargement utilise Windows cURL  ("Client for URLs" ou "Curl URL Request Library") – un programme d'invite de commande doté d'une bibliothèque associée permettant de transmettre des données entre des ordinateurs connectés ensemble – afin de récupérer le code du logiciel malveillant. Le script était pré-compilé, afin de dissimuler son code malveillant au milieu du fichier, ce qui le rendait plus difficile à détecter par les systèmes de sécurité.

© Truesec

DarkGate n'est pas à prendre à la légère. Ce malware est entré en circulation en 2017, mais son utilisation était limitée à un petit cercle de cybercriminels qui l'ont utilisé contre des cibles très spécifiques. Il est extrêmement dangereux car il prend en charge un large éventail d'activités malveillantes, comme la prise en main à distance via hVNC, le minage de cryptomonnaies, l'enregistrement de la saisie au clavier (keylogging), les attaques par shell inversé, le vol des données de presse-papiers et le vol d'informations sensibles, y compris les fichiers et les données de navigation.

Or, d'après ZeroFox, une personne prétendant être l'auteur original de DarkGate a tenté, en juin 2023, de vendre l'accès au logiciel malveillant à dix personnes pour le prix ridicule de 100 000 dollars par an. Problème : au cours des mois qui ont suivi, de nombreux rapports ont fait état d'une intensification de la distribution de DarkGate par divers canaux, notamment pour le phishing et pour la publicité malveillante. Aussi, s'il n'est pas encore une menace généralisée, son ciblage croissant et l'adoption de multiples moyens d'infection en font une menace émergente à surveiller de près. De son côté, Microsoft a recommandé aux administrateurs d'appliquer des configurations sûres telles que des listes d'autorisations restreintes et de désactiver l'accès externe si la communication avec des locataires externes n'est pas nécessaire.