Emotet keert terug, Lokibot houdt stand - Kaspersky meldt nieuwe infectiemethoden
Kaspersky's nieuwe rapport onthult ingewikkelde infectietactieken van malwarestammen DarkGate, Emotet en LokiBot. Te midden van DarkGate's unieke versleuteling en Emotet's robuuste comeback, blijven LokiBot exploits bestaan, wat het zich steeds verder ontwikkelende cybersecuritylandschap illustreert.
Ontdekking van DarkGate en Opkomst van Herrezen Emotet in 2023
In juni 2023 ontdekten onderzoekers van Kaspersky een nieuwe loader met de naam DarkGate die beschikt over een reeks functies die verder gaan dan de typische downloaderfunctionaliteit. Enkele van de opmerkelijke mogelijkheden zijn verborgen VNC, uitsluiting van Windows Defender, het stelen van browsergeschiedenis, reverse proxy, bestandsbeheer en het stelen van Discord-tokens. De werking van DarkGate bestaat uit een keten van vier fasen, ingewikkeld ontworpen om te leiden tot het laden van DarkGate zelf. Wat deze loader onderscheidt, is de unieke manier om strings te versleutelen met persoonlijke sleutels en een aangepaste versie van Base64-codering, waarbij gebruik wordt gemaakt van een speciale tekenset.
Bovendien onderzoekt het onderzoek van Kaspersky een activiteit van Emotet, een beruchte botnet die weer opdook nadat het in 2021 werd uitgeschakeld. In deze nieuwste campagne activeren gebruikers die onbewust de schadelijke OneNote-bestanden openen de uitvoering van een verborgen en vermomde VBScript. Het script probeert vervolgens de schadelijke payload van verschillende websites te downloaden totdat het met succes het systeem infiltreert.Eenmaal binnen plant Emotet een DLL in de tijdelijke map en voert deze uit. Deze DLL bevat verborgen instructies, of shellcode, samen met versleutelde importfuncties. Door vakkundig een specifiek bestand uit de resourcesectie te ontsleutelen, krijgt Emotet de overhand en wordt uiteindelijk de schadelijke payload uitgevoerd.
Phishingcampagne gericht op vrachtschipbedrijven en het belang van proactieve cybersecurity-oplossingen
Tot slot ontdekte Kaspersky een phishingcampagne gericht op vrachtschipbedrijven die LokiBot afleverde. LokiBot is een infostealer die voor het eerst werd geïdentificeerd in 2016 en is ontworpen om gegevens te stelen van verschillende toepassingen, waaronder browsers en FTP-clients. Deze e-mails bevatten een bijlage bij een Excel-document waarin gebruikers werden gevraagd macro's in te schakelen. De aanvallers maakten gebruik van een bekende kwetsbaarheid (CVE-2017-0199) in Microsoft Office, wat leidde tot het downloaden van een RTF-document. Dit RTF-document maakte vervolgens gebruik van een andere kwetsbaarheid (CVE-2017-11882) om de LokiBot-malware af te leveren en uit te voeren.
"De opleving van Emotet, de voortdurende aanwezigheid van Lokibot en de verschijning van DarkGate herinneren ons eraan dat cyberbedreigingen voortdurend in beweging zijn. Aangezien deze malwarestammen zich aanpassen en nieuwe infectiemethoden aannemen, is het cruciaal voor individuen en bedrijven om waakzaam te blijven en te investeren in robuuste cybersecurityoplossingen. Kaspersky's voortdurende onderzoek en detectie van DarkGate, Emotet en Lokibot onderstrepen het belang van proactieve maatregelen ter bescherming tegen evoluerende cybergevaren," zegt Jornt van der Wiel, senior security researcher bij Kaspersky's Global Research and Analysis Team.
Lees meer
