Emotet revine, Lokibot persistă – Kaspersky raportează despre noi metode de infectare

Noul raport Kaspersky descoperă tactici complicate de infectare a tulpinilor de malware DarkGate, Emotet și LokiBot. Pe fondul criptării unice a DarkGate și al revenirii complexe a lui Emotet, exploit-urile LokiBot persistă, ilustrând peisajul securității cibernetice în continuă dezvoltare.

În iunie 2023, cercetătorii Kaspersky au descoperit un nou loader numit DarkGate, care include cu o serie de caracteristici care depășesc funcționalitatea tipică de descărcare. Unele dintre capabilitățile notabile includ VNC ascuns, excluderea Windows Defender, furtul informațiilor din istoricul browser-ului, reverse proxy, gestionarea fișierelor și furtul de token Discord. Funcționarea lui DarkGate implică un lanț de patru etape, concepute complex pentru a duce la încărcarea propriu-zisă a DarkGate. Ceea ce diferențiază acest loader este modul său unic de a cripta șirurile cu chei personalizate și o versiune unică a codării Base64, utilizând un set special de caractere.

Mai mult, cercetarea Kaspersky examinează o activitate a Emotet, o rețea botnet cu notorietate care a reapărut după desființarea sa în 2021. În această ultimă campanie, utilizatorii care deschid fără să vrea fișierele rău intenționate OneNote declanșează execuția unui VBScript ascuns și deghizat. Scriptul încearcă apoi să descarce încărcătura utilă dăunătoare de pe diverse site-uri web până când se infiltrează cu succes în sistem. Odată infiltrat, Emotet plantează un DLL în registrul temporar, apoi îl execută. Acest DLL conține instrucțiuni ascunse, sau shellcode, împreună cu funcții de import criptate. Prin decriptarea unui anumit fișier din secțiunea de resurse, Emotet câștigă, executând în cele din urmă sarcina utilă rău intenționată.

În cele din urmă, Kaspersky a detectat o campanie de phishing care vizează companiile de nave de marfă și care a livrat LokiBot. Este un infostealer identificat pentru prima dată în 2016 și conceput pentru a fura acreditările din diverse aplicații, inclusiv browsere și clienți FTP. Aceste e-mailuri au inclus un document rău intentional de tip Excel care i-a determinat pe utilizatori să activeze macrocomenzi. Atacatorii au exploatat o vulnerabilitate cunoscută (CVE-2017-0199) în Microsoft Office, ducând la descărcarea unui document RTF. Acest document RTF a folosit ulterior o altă vulnerabilitate (CVE-2017-11882) pentru a furniza și executa malware-ul LokiBot.