DarkGate
niainaBy
Share
Internet

DarkGate : Le redoutable ransomware qui défie les antivirus en utilisant des chargeurs infectés

30 views0

Le monde numérique est constamment menacé par une multitude de virus et de logiciels malveillants, mais peu sont aussi insidieux que DarkGate. Ce ransomware, qui a fait son apparition récemment, défie les antivirus traditionnels en utilisant une méthode d’infection sournoise via des chargeurs infectés. Comprendre le fonctionnement de ce redoutable logiciel malveillant est essentiel pour protéger nos systèmes informatiques.

Lorsque DarkGate s’introduit dans un système, il déploie toute une série d’actions minutieusement orchestrées par des cybercriminels. Il télécharge et installe divers autres programmes nuisibles à partir d’un serveur distant avant de passer à l’étape suivante : le chiffrement irréversible des documents stockés dans la mémoire du système compromis. Ensuite, il lance sa demande de rançon, enfermant ainsi les fichiers précieux entre les mains sans pitié des pirates.

 

Une infiltration sophistiquée grâce aux chargeurs infectés

Pour tromper ses victimes et contourner les mesures de sécurité traditionnelles ainsi que les solutions antivirus, DarkGate utilise un mode opératoire bien élaboré reposant sur l’infiltration via des chargeurs infectés. Les chercheurs ont découvert pas moins de 17 variantes différentes du chargeur utilisées selon certaines variables spécifiques telles que le type de processeur présent dans l’ordinateur ciblé.

DarkGate débute son attaque en lançant un script VBS qui crée un environnement complexe et masque ses propres actions. Ce script télécharge ensuite deux fichiers, « Autoit3.exe » et « script.au3 », à partir d’un serveur de commande et de contrôle distant.

 

L’exécution du ransomware en plusieurs étapes

Une fois les fichiers téléchargés, DarkGate utilise un langage de script appelé AutoIT V3 pour poursuivre son sinistre dessein. Ce script obscurci alloue de la mémoire à un « shellcode » intégré capable d’imiter les frappes au clavier et les mouvements de souris. Cette phase permet au ransomware d’établir une prise de contrôle silencieuse du système cible.

La troisième étape clé est l’exécution du shellcode, qui construit un fichier exécutable en mémoire. Ce fichier PE (Portable Executable) résout dynamiquement les dépendances requises, ouvrant la voie à une prise totale du système compromis par DarkGate.

L’étape finale est l’exécution proprement dite du chargeur DarkGate, qui charge le fichier « script.au3 » en mémoire. Il identifie alors un segment chiffré appelé « blob » qu’il déchiffre habilement à l’aide des opérations XOR et NOT avec une clé spécifique. Une fois accompli, DarkGate attaque impitoyablement le système cible.

 

A lire aussi : Comment les réseaux sociaux peuvent booster la croissance d’une entreprise

 

Des fonctionnalités redoutables mises en oeuvre par DarkGate

DarkGate ne se contente pas d’être un simple ransomware conventionnel ; il dispose également d’un éventail redoutable de fonctionnalités sophistiquées. Tout d’abord, il est équipé d’un Virtual Network Computing (VNC) dissimulé, permettant à un pirate informatique de prendre le contrôle de l’interface de l’ordinateur à distance sans que l’utilisateur ne s’en rende compte.

Mais ce n’est pas tout. DarkGate a la capacité inquiétante de simuler les frappes clavier et les mouvements de souris, ce qui lui permet d’éviter la détection des antivirus traditionnels basés sur des modèles. Il utilise également une fonctionnalité pour masquer les adresses et les caractéristiques des serveurs appartenant aux criminels, rendant encore plus difficile la tâche des enquêteurs.

Il convient également de souligner que DarkGate cible particulièrement les utilisateurs du service Discord. En contournant Microsoft Defender, l’antivirus par défaut sur les PC Windows, il compromet la sécurité des utilisateurs en collectant leur historique de navigation et en volant leurs jetons d’authentification Discord.

 

Une menace croissante pour tous

Au fil du temps, le nombre d’attaques par ransomware a explosé, plaçant chacun d’entre nous dans une situation vulnérable face à ces menaces numériques redoutables. Selon ReliaQuest, recherche independante, les activités liées aux ransomwares ont connu une augmentation alarmante au cours du deuxième trimestre 2023 avec une hausse colossale – jusqu’à 64,4% – du nombre total de victimes signalées. Le mois record fut mai 2023 avec pas moins dedans son effroyable palmarès.

 

Conclusion

En conclusion, DarkGate représente une menace numérique de plus en plus sérieuse et sophistiquée qui défie les antivirus traditionnels en utilisant des chargeurs infectés. Ce ransomware met en œuvre un mode opératoire complexe et utilise des fonctionnalités redoutables comme le contrôle à distance via VNC et la simulation de frappes clavier. Il cible notamment les utilisateurs du service Discord, compromettant leur sécurité en volant leurs jetons d’authentification.

Face à cette menace grandissante, il est crucial que chacun prenne des mesures pour protéger ses systèmes et ses données. Voici quelques conseils essentiels :

 

  1. Gardez votre logiciel antivirus à jour : Assurez-vous d’avoir installé un antivirus réputé sur votre ordinateur et veillez à ce qu’il soit régulièrement mis à jour pour bénéficier des dernières protections contre les ransomwares tels que DarkGate.
  2. Méfiez-vous des sources inconnues : Évitez de télécharger des fichiers provenant de sources non fiables ou suspectes, car ils peuvent contenir des chargeurs infectés par DarkGate ou d’autres logiciels malveillants.
  3. Effectuez régulièrement des sauvegardes : Sauvegardez régulièrement vos fichiers importants sur un support externe sécurisé ou dans le cloud afin de pouvoir récupérer vos données en cas d’infection par un ransomware.
  4. Sensibilisation et formation : Informez-vous sur les différentes techniques utilisées par les cybercriminels pour propager leurs attaques, afin de mieux reconnaître les signes d’une possible infection par un ransomware comme DarkGate.
  5. Utilisez une solution de sécurité complète : En plus d’un antivirus, envisagez d’utiliser une suite de sécurité complète qui comprend des fonctionnalités comme un pare-feu personnel et une protection en temps réel contre les menaces en ligne.

 

En restant vigilants et en adoptant ces mesures de précaution, nous pouvons renforcer notre protection contre les ransomwares tels que DarkGate. N’oublions pas que la cybersécurité est l’affaire de tous, car chaque système protégé contribue à la lutte globale contre ces cybermenaces croissantes.

niaina
Niaina et son équipe, des passionnés de l'écriture et du blogging. Suivez-nous !
Previous
Suivant

You may also like

Leave a reply

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *