Emotet revine, Lokibot persista Kaspersky raporteaza despre noi metode de infectare
calendar_month 09 Aug 2023, 17:45

Noul raport Kaspersky descopera tactici complicate de infectare a tulpinilor de malware DarkGate, Emotet si LokiBot. Pe fondul criptarii unice a DarkGate si al revenirii complexe a lui Emotet, exploit-urile LokiBot persista, ilustrand peisajul securitatii cibernetice in continua dezvoltare.

In iunie 2023, cercetatorii Kaspersky au descoperit un nou loader numit DarkGate, care include cu o serie de caracteristici care depasesc functionalitatea tipica de descarcare. Unele dintre capabilitatile notabile includ VNC ascuns, excluderea Windows Defender, furtul informatiilor din istoricul browser-ului, reverse proxy, gestionarea fisierelor si furtul de token Discord. Functionarea lui DarkGate implica un lant de patru etape, concepute complex pentru a duce la incarcarea propriu-zisa a DarkGate. Ceea ce diferentiaza acest loader este modul sau unic de a cripta sirurile cu chei personalizate si o versiune unica a codarii Base64, utilizand un set special de caractere. 

Mai mult, cercetarea Kaspersky examineaza o activitate a Emotet, o retea botnet cu notorietate care a reaparut dupa desfiintarea sa in 2021. In aceasta ultima campanie, utilizatorii care deschid fara sa vrea fisierele rau intentionate OneNote declanseaza executia unui VBScript ascuns si deghizat. Scriptul incearca apoi sa descarce incarcatura utila daunatoare de pe diverse site-uri web pana cand se infiltreaza cu succes in sistem. Odata infiltrat, Emotet planteaza un DLL in registrul temporar, apoi il executa. Acest DLL contine instructiuni ascunse, sau shellcode, impreuna cu functii de import criptate. Prin decriptarea unui anumit fisier din sectiunea de resurse, Emotet castiga, executand in cele din urma sarcina utila rau intentionata.

In cele din urma, Kaspersky a detectat o campanie de phishing care vizeaza companiile de nave de marfa si care a livrat LokiBot. Este un infostealer identificat pentru prima data in 2016 si conceput pentru a fura acreditarile din diverse aplicatii, inclusiv browsere si clienti FTP. Aceste e-mailuri au inclus un document rau intentional de tip Excel care i-a determinat pe utilizatori sa activeze macrocomenzi. Atacatorii au exploatat o vulnerabilitate cunoscuta (CVE-2017-0199) in Microsoft Office, ducand la descarcarea unui document RTF. Acest document RTF a folosit ulterior o alta vulnerabilitate (CVE-2017-11882) pentru a furniza si executa malware-ul LokiBot.

Pentru a va proteja pe dumneavoastra, dar si business-ul propriu, de atacurile ransomware, luati in considerare respectarea regulilor propuse de Kaspersky:

    • Pastrati intotdeauna software-ul actualizat pe toate dispozitivele pe care le utilizati pentru a preveni atacatorii sa exploateze vulnerabilitatile si sa se infiltreze in retea.

    • Concentrati-va strategia de aparare pe detectarea miscarilor laterale si a scurgerilor de date pe internet. Acordati o atentie deosebita traficului de iesire pentru a detecta conexiunile infractorilor cibernetici la reteaua dumneavoastra. Configurati copii de rezerva offline pe care intrusii nu le pot modifica. Asigurati-va ca le puteti accesa rapid atunci cand este necesar sau in caz de urgenta.

    • Activati protectia impotriva ransomware la intregul nivel endpoint. Exista un instrument gratuit Kaspersky Anti-Ransomware Tool for Business care protejeaza computerele si serverele impotriva ransomware si alte tipuri de malware, previne exploatarile si este compatibil cu solutiile de securitate deja instalate.



    • Instalati solutii anti-APT si EDR, permitand capabilitati pentru descoperirea si detectarea amenintarilor avansate, investigarea si remedierea in timp util a incidentelor. Oferiti echipei SOC acces la cele mai recente informatii despre amenintari si imbunatatiti-le in mod regulat cu pregatire profesionala. Toate cele de mai sus sunt disponibile in cadrul Kaspersky Expert Security.

    • Accesul la cele mai recente informatii despre amenintari (TI) este una dintre masurile esentiale pentru siguranta. Portalul Kaspersky Threat Intelligence este un singur punct de acces la Kaspersky TI, oferind date si informatii privind atacurile cibernetice colectate de companie in ultimii 20 de ani. Pentru a ajuta organizatiile si companiile sa ofere o aparare eficienta in aceste vremuri tulburi, Kaspersky a anuntat ca ofera acces gratuit la informatii independente, actualizate continuu si din surse globale, despre atacurile si amenintarile cibernetice actuale.