Un service naissant appelé Utilitaires sombres a déjà attiré 3 000 utilisateurs pour sa capacité à fournir des services de commande et de contrôle (C2) dans le but de réquisitionner des systèmes compromis.
« Il est commercialisé comme un moyen de permettre l’accès à distance, l’exécution de commandes, les attaques par déni de service distribué (DDoS) et les opérations d’extraction de crypto-monnaie sur les systèmes infectés », a déclaré Cisco Talos. a dit dans un rapport partagé avec The Hacker News.
Dark Utilities, qui a émergé au début de 2022, est annoncé comme un « C2-as-a-Service » (C2aaS), offrant un accès à l’infrastructure hébergée sur le clearnet ainsi qu’au réseau TOR et aux charges utiles associées avec prise en charge de Windows, Linux, et des implémentations basées sur Python pour seulement 9,99 €.
Les utilisateurs authentifiés sur la plate-forme se voient présenter un tableau de bord qui permet de générer de nouvelles charges utiles adaptées à un système d’exploitation spécifique qui peuvent ensuite être déployées et exécutées sur les hôtes victimes.
De plus, les utilisateurs disposent d’un panneau d’administration pour exécuter des commandes sur les machines sous leur contrôle lors de l’établissement d’un canal C2 actif, accordant ainsi à l’attaquant un accès complet aux systèmes.
L’idée est de permettre aux pirates de cibler plusieurs architectures sans nécessiter d’efforts de développement importants. Le support technique et l’assistance via Discord et Telegram sont également étendus à ses clients.
« Compte tenu du coût relativement faible par rapport à la quantité de fonctionnalités offertes par la plate-forme, elle est probablement attrayante pour les adversaires qui tentent de compromettre les systèmes sans les obliger à créer leur propre implémentation C2 dans leurs charges utiles de logiciels malveillants », ont noté les chercheurs.
Pour ajouter de l’huile sur le feu, les artefacts malveillants sont hébergés dans la solution décentralisée du système de fichiers interplanétaire (IPFS), ce qui les rend résistants à la modération de contenu ou à l’intervention des forces de l’ordre d’une manière similaire à « l’hébergement à l’épreuve des balles ».
« IPFS est actuellement abusé par une variété d’acteurs malveillants qui l’utilisent pour héberger des contenus malveillants dans le cadre de campagnes de phishing et de distribution de logiciels malveillants », a déclaré Edmund Brumaghin, chercheur chez Talos, à The Hacker News.
« [The IPFS gateway] permet aux ordinateurs sur Internet d’accéder au contenu hébergé sur le réseau IPFS sans nécessiter l’installation d’un logiciel client, de la même manière que les passerelles Tor2Web fournissent cette fonctionnalité pour le contenu hébergé sur le réseau Tor.
On pense que Dark Utilities est l’œuvre d’un acteur menaçant qui se fait appeler Inplex-sys dans l’espace souterrain cybercriminel, Talos identifiant une sorte de « relation de collaboration » entre Inplex-sys et l’un des opérateurs d’un service de botnet. appelé robot intelligent.
« Des plateformes comme Dark Utilities abaissent la barrière à l’entrée pour les cybercriminels entrant dans le paysage des menaces en leur permettant de lancer rapidement des attaques ciblant une variété de systèmes d’exploitation », ont déclaré les chercheurs.
« Ils offrent également plusieurs méthodes qui peuvent être utilisées pour monétiser davantage l’accès aux systèmes dans les environnements d’entreprise et pourraient conduire à un déploiement supplémentaire de logiciels malveillants dans l’environnement une fois l’accès initial obtenu. »