Un acteur malveillant utilise de fausses publications LinkedIn et des messages directs concernant un poste de spécialiste des publicités Facebook chez le fabricant de matériel Corsair pour inciter les gens à télécharger des logiciels malveillants voleurs d’informations comme DarkGate et RedLine.

La société de cybersécurité WithSecure a détecté l’activité et suivi l’activité du groupe, montrant aujourd’hui dans un rapport qu’il est lié aux groupes cybercriminels vietnamiens responsables des campagnes « Ducktail » repérées pour la première fois l’année dernière.

Ces campagnes visent à voler de précieux comptes professionnels Facebook qui peuvent être utilisés à des fins de publicité malveillante ou vendus à d’autres cybercriminels.

DarkGate a été repéré pour la première fois en 2017 mais son déploiement est resté limité jusqu’en juin 2023, date à laquelle son auteur a décidé de vendre l’accès au malware à un public plus large.

Des exemples récents d’utilisation de DarkGate incluent des attaques de phishing via Microsoft Teams qui poussent la charge utile et exploitent des comptes Skype compromis pour envoyer des scripts VBS afin de déclencher une chaîne d’infection menant au logiciel malveillant.

Leurre corsaire

Les auteurs de la menace vietnamienne ont principalement ciblé les utilisateurs aux États-Unis, au Royaume-Uni et en Inde, qui occupent des postes de direction dans les médias sociaux et sont susceptibles d’avoir accès à des comptes professionnels Facebook. L’appât est livré via LinkedIn et implique une offre d’emploi chez Corsair.

Les cibles sont amenées à télécharger des fichiers malveillants à partir d’une URL (« g2[.]by/corsair-JD ») qui redirige vers Google Drive ou Dropbox pour déposer un fichier ZIP (« Salaire et nouveaux produits.8.4.zip ») avec un document PDF ou DOCX et un fichier TXT portant les noms suivants :

• Description du poste de Corsair.docx
• Salaire et nouveaux produits.txt
• PDF Salaire et produits.pdf

Les chercheurs de WithSecure ont analysé les métadonnées des fichiers ci-dessus et ont trouvé des pistes vers une distribution de voleur RedLine.

L’archive téléchargée contient un script VBS, éventuellement intégré au fichier DOCX, qui copie et renomme « curl.exe » vers un nouvel emplacement et l’exploite pour télécharger « autoit3.exe » et un script Autoit3 compilé.

L’exécutable lance le script, et ce dernier se désobscurcit et construit DarkGate à l’aide des chaînes présentes dans le script.

Trente secondes après l’installation, le malware tente de désinstaller les produits de sécurité du système compromis, indiquant l’existence d’un processus automatisé.

LinkedIn a introduit à la fin de l’année dernière des fonctionnalités pour lutter contre les abus sur la plate-forme, qui peuvent aider les utilisateurs à déterminer si un compte est suspect ou faux. Cependant, il incombe aux utilisateurs de vérifier les informations vérifiées avant d’entrer en communication avec un nouveau compte.

WithSecure a publié une liste d’indicateurs de compromission (IoC) qui pourraient aider les organisations à se défendre contre les activités de cet acteur menaçant. Les détails incluent les adresses IP, les domaines utilisés, les URL, les métadonnées des fichiers et les noms des archives.