Source: Flashpoint — Flashpoint publie une analyse technique de DarkCloud, un infostealer commercialisé depuis 2022 par « Darkcloud Coder » (ex-« BluCoder »), vendu via Telegram et un site clearnet dès 30 $, et présenté publiquement comme « logiciel de surveillance » alors qu’il est centré sur le vol d’identifiants à grande échelle. 🔐
Langage et évasion. DarkCloud est écrit en Visual Basic 6.0 et compilé en binaire natif C/C++. L’usage de composants runtime legacy (ex. MSVBVM60.DLL) contribuerait à réduire les détections par rapport à des équivalents C/C++ selon des scans VirusTotal effectués par les analystes. L’outil emploie une obfuscation/ chiffrement de chaînes en couches, fondée sur le PRNG VB6 (Rnd()) avec clés Base64, chaînes hex, calcul de seed custom, reset du PRNG à un état connu, puis itérations pour reconstruire les chaînes en clair — une approche visant à complexifier l’analyse sans recourir à une crypto innovante. 🧪
Ciblage et données volées. L’objectif principal est le credential harvesting à grande échelle sur :
- Navigateurs (Chrome, Edge, Firefox, Brave, Opera, Yandex, Vivaldi, etc.)
- Clients e-mail (Outlook, eM Client, FoxMail, Thunderbird, 163Mail, MailMaster)
- Applications de transfert de fichiers (FileZilla, WinSCP, CoreFTP)
- Autres (Pidgin, NordVPN)
Le stealer extrait notamment identifiants, cookies, cartes bancaires, et collecte les listes de contacts e-mail (probables cibles de futures campagnes de phishing). Les données sont stagées localement sous %APPDATA%\Microsoft\Windows\Templates dans deux répertoires: “DBS” (copies de bases de données) et "_" (données parsées en clair), facilitant une exfiltration continue et des logs structurés. 🧰
Exfiltration flexible. DarkCloud prend en charge SMTP, FTP, Telegram et HTTP. Pour SMTP/FTP, des identifiants sont hardcodés dans chaque binaire; les sujets d’e-mail incluent le hostname et le username de la machine victime; HTTP est moins utilisé mais présent. Cette souplesse permet d’ajuster l’OPSEC et l’infrastructure d’attaque. 📤
Origines et impact. Des similarités de regex de cartes bancaires avec le projet « A310LoggerStealer » (alias BluStealer) et l’ancien alias « BluCoder » suggèrent une évolution incrémentale vers DarkCloud. Malgré son faible coût, Flashpoint juge DarkCloud comme une menace d’entrée de gamme puissante, capable de fournir aux attaquants un accès étendu aux réseaux d’entreprise via l’exploitation des identités. Il s’agit d’une analyse de menace visant à décrire le fonctionnement, les techniques d’évasion et l’impact opérationnel de ce malware.
IOC et TTPs
- Indicateurs observables (IOCs) :
- Chemins locaux de staging :
%APPDATA%\Microsoft\Windows\Templates\DBSet%APPDATA%\Microsoft\Windows\Templates\_ - Modèle de sujet d’e-mail d’exfiltration : contient le nom d’hôte et l’utilisateur de la machine victime
- Chemins locaux de staging :
- TTPs :
- Vol d’identifiants multi-applications (navigateurs, clients e-mail, FTP, VPN, messagerie)
- Keylogging (fonctionnalité secondaire)
- Obfuscation/chiffrement de chaînes via PRNG VB6 (Rnd), seeds custom, Base64/Hex
- Evasion par usage de VB6/ composants legacy pour réduire les détections
- Exfiltration via SMTP/FTP/Telegram/HTTP avec credentials hardcodés (SMTP/FTP)
- Staging local des données volées avant exfiltration
🧠 TTPs et IOCs détectés
TTP
[‘Vol d’identifiants multi-applications (navigateurs, clients e-mail, FTP, VPN, messagerie)’, ‘Keylogging (fonctionnalité secondaire)’, ‘Obfuscation/chiffrement de chaînes via PRNG VB6 (Rnd), seeds custom, Base64/Hex’, ‘Evasion par usage de VB6/composants legacy pour réduire les détections’, ‘Exfiltration via SMTP/FTP/Telegram/HTTP avec credentials hardcodés (SMTP/FTP)’, ‘Staging local des données volées avant exfiltration’]
IOC
[‘Chemins locaux de staging : %APPDATA%\Microsoft\Windows\Templates\DBS et %APPDATA%\Microsoft\Windows\Templates\_’, ‘Modèle de sujet d’e-mail d’exfiltration : contient le nom d’hôte et l’utilisateur de la machine victime’]
🔗 Source originale : https://flashpoint.io/blog/understanding-darkcloud-infostealer/