Noul raport Kaspersky descoperă tactici complicate de infectare a tulpinilor de malware DarkGate, Emotet și LokiBot. Pe fondul criptării unice a DarkGate și al revenirii complexe a lui Emotet, exploit-urile LokiBot persistă, ilustrând peisajul securității cibernetice în continuă dezvoltare.
În iunie 2023, cercetătorii Kaspersky au descoperit un nou loader numit DarkGate, care include cu o serie de caracteristici care depășesc funcționalitatea tipică de descărcare. Unele dintre capabilitățile notabile includ VNC ascuns, excluderea Windows Defender, furtul informațiilor din istoricul browser-ului, reverse proxy, gestionarea fișierelor și furtul de token Discord.
Funcționarea lui DarkGate implică un lanț de patru etape, concepute complex pentru a duce la încărcarea propriu-zisă a DarkGate. Ceea ce diferențiază acest loader este modul său unic de a cripta șirurile cu chei personalizate și o versiune unică a codării Base64, utilizând un set special de caractere.
Mai mult, cercetarea Kaspersky examinează o activitate a Emotet, o rețea botnet cu notorietate care a reapărut după desființarea sa în 2021. În această ultimă campanie, utilizatorii care deschid fără să vrea fișierele rău intenționate OneNote declanșează execuția unui VBScript ascuns și deghizat. Scriptul încearcă apoi să descarce încărcătura utilă dăunătoare de pe diverse site-uri web până când se infiltrează cu succes în sistem. Odată infiltrat, Emotet plantează un DLL în registrul temporar, apoi îl execută. Acest DLL conține instrucțiuni ascunse, sau shellcode, împreună cu funcții de import criptate. Prin decriptarea unui anumit fișier din secțiunea de resurse, Emotet câștigă, executând în cele din urmă sarcina utilă rău intenționată.
În cele din urmă, Kaspersky a detectat o campanie de phishing care vizează companiile de nave de marfă și care a livrat LokiBot. Este un infostealer identificat pentru prima dată în 2016 și conceput pentru a fura acreditările din diverse aplicații, inclusiv browsere și clienți FTP. Aceste e-mailuri au inclus un document rău intentional de tip Excel care i-a determinat pe utilizatori să activeze macrocomenzi. Atacatorii au exploatat o vulnerabilitate cunoscută (CVE-2017-0199) în Microsoft Office, ducând la descărcarea unui document RTF. Acest document RTF a folosit ulterior o altă vulnerabilitate (CVE-2017-11882) pentru a furniza și executa malware-ul LokiBot.
Aflați mai multe despre noile metode de infectare pe Securelist.
Pentru a vă proteja pe dumneavoastră, dar și business-ul propriu, de atacurile ransomware, luați în considerare respectarea regulilor propuse de Kaspersky:
• Păstrați întotdeauna software-ul actualizat pe toate dispozitivele pe care le utilizați pentru a preveni atacatorii să exploateze vulnerabilitățile și să se infiltreze în rețea.
• Concentrați-vă strategia de apărare pe detectarea mișcărilor laterale și a scurgerilor de date pe internet. Acordați o atenție deosebită traficului de ieșire pentru a detecta conexiunile infractorilor cibernetici la rețeaua dumneavoastră. Configurați copii de rezervă offline pe care intrușii nu le pot modifica. Asigurați-vă că le puteți accesa rapid atunci când este necesar sau în caz de urgență.
• Activați protecția împotriva ransomware la întregul nivel endpoint. Există un instrument gratuit Kaspersky Anti-Ransomware Tool for Business care protejează computerele și serverele împotriva ransomware și alte tipuri de malware, previne exploatările și este compatibil cu soluțiile de securitate deja instalate.
• Instalați soluții anti-APT și EDR, permițând capabilități pentru descoperirea și detectarea amenințărilor avansate, investigarea și remedierea în timp util a incidentelor. Oferiți echipei SOC acces la cele mai recente informații despre amenințări și îmbunătățiți-le în mod regulat cu pregătire profesională. Toate cele de mai sus sunt disponibile în cadrul Kaspersky Expert Security.
• Accesul la cele mai recente informații despre amenințări (TI) este una dintre măsurile esențiale pentru siguranță. Portalul Kaspersky Threat Intelligence este un singur punct de acces la Kaspersky TI, oferind date și informații privind atacurile cibernetice colectate de companie în ultimii 20 de ani. Pentru a ajuta organizațiile și companiile să ofere o apărare eficientă în aceste vremuri tulburi, Kaspersky a anunțat că oferă acces gratuit la informații independente, actualizate continuu și din surse globale, despre atacurile și amenințările cibernetice actuale. Solicitați acces aici.
