Home » DarkGate

DarkGate

DarkGate est un loader avec des capacités RAT développées en Delphi avec des modules développés en C++. Il a gagné en notoriété au second semestre 2023, en raison de sa capacité à opérer secrètement et de son agilité à échapper à la détection par les systèmes antivirus. Il peut donc se propager rapidement sur les réseaux, infectant plusieurs appareils et causant des dommages au sein des organisations.

Sur divers forums de cybercriminalité, DarkGate est vendu en tant que Malware-as-a-Service (MaaS) par le personnage RastaFarEye. Au cours des derniers mois, il a été utilisé par de multiples acteurs de la menace tels que TA577 et Ducktail.

Pour infecter les systèmes et accélérer sa propagation, ses usagers ont recours aux méthodes les plus répandues telles que l’usage des :

Emails phishing : une technique d’ingénierie sociale pour inciter les utilisateurs à cliquer sur des liens malveillants ou à télécharger des pièces jointes infectées.

Sites Web compromis : Les attaquants injectent Darkgate dans des sites Web légitimes, exploitant les vulnérabilités pour lancer un processus de téléchargement ou d’installation à l’insu de l’utilisateur.

Mises à jour de logiciels malveillants : Darkgate peut se faire passer pour une mise à jour ou un installateur de logiciel légitime, incitant les utilisateurs à lui donner les autorisations nécessaires pour infecter le système.

Sur le blog de Sekoia.io, notre équipe TDR a effectué une analyse technique approfondie de DarkGate, mettant en lumière son mode de fonctionnement (MITRE ATT&CK TTP), sa chaîne d’infection, ses techniques d’évasion et ses potentiels impacts.

Pour lire l’article, c’est par ici : https://blog.sekoia.io/darkgate-internals/

Pour découvrir notre plateforme SOC via une démonstration interactive, c’est par ici :

Découvrez Sekoia.io plateforme SOC via une démonstration interactive.

Si vous souhaitez découvrir la définition d’un SOC, veuillez consulter notre glossaire dédié à la cybersécurité.

Autres termes

AridViper(Groupe APT)

AridViper, également connu sous les noms d'APT C-23, MoleRATs, Gaza Cyber Gang ou Desert Falcon, est un groupe d'intrusion réputé proche du Hamas et actif depuis au moins 2012.

ClearFake(Framework JavaScript malveillant )

Il s'agit d'un « framework » JavaScript malveillant qui une fois déployé sur des sites web compromis, dissémine des malware (logiciels malveillants). Plus précisément, ses opérateurs exploitent l’ingénierie sociale pour inciter sa cible à exécuter une fausse mise à jour du navigateur web et à installer des logiciels malveillants.

Échangez avec l’équipe

Vous souhaitez en savoir plus sur nos solutions de protection ?
Vous voulez découvrir nos produits de XDR et de CTI ?
Vous avez un projet de cybersécurité dans votre organisation ?
Prenez rendez-vous et rencontrons-nous !

Chat with our team !

Would you like to know more about our solutions ?
Do you want to discover our XDR and CTI products ?
Do you have a cyber security project in your organization ?
Make an appointment and meet us !