Utrecht, 3 augustus 2023 - Kaspersky's nieuwe rapport onthult ingewikkelde infectietactieken van malwarestammen DarkGate, Emotet en LokiBot. Te midden van DarkGate's unieke versleuteling en Emotet's robuuste comeback, blijven LokiBot exploits bestaan, wat het zich steeds verder ontwikkelende cybersecuritylandschap illustreert.
In juni 2023 ontdekten onderzoekers van Kaspersky een nieuwe loader met de naam DarkGate die beschikt over een reeks functies die verder gaan dan de typische downloaderfunctionaliteit. Enkele van de opmerkelijke mogelijkheden zijn verborgen VNC, uitsluiting van Windows Defender, het stelen van browsergeschiedenis, reverse proxy, bestandsbeheer en het stelen van Discord-tokens. De werking van DarkGate bestaat uit een keten van vier fasen, ingewikkeld ontworpen om te leiden tot het laden van DarkGate zelf. Wat deze loader onderscheidt, is de unieke manier om strings te versleutelen met persoonlijke sleutels en een aangepaste versie van Base64-codering, waarbij gebruik wordt gemaakt van een speciale tekenset.
Bovendien onderzoekt het onderzoek van Kaspersky een activiteit van Emotet, een beruchte botnet die weer opdook nadat het in 2021 werd uitgeschakeld. In deze nieuwste campagne activeren gebruikers die onbewust de schadelijke OneNote-bestanden openen de uitvoering van een verborgen en vermomde VBScript. Het script probeert vervolgens de schadelijke payload van verschillende websites te downloaden totdat het met succes het systeem infiltreert.Eenmaal binnen plant Emotet een DLL in de tijdelijke map en voert deze uit. Deze DLL bevat verborgen instructies, of shellcode, samen met versleutelde importfuncties. Door vakkundig een specifiek bestand uit de resourcesectie te ontsleutelen, krijgt Emotet de overhand en wordt uiteindelijk de schadelijke payload uitgevoerd.
Tot slot ontdekte Kaspersky een phishingcampagne gericht op vrachtschipbedrijven die LokiBot afleverde. LokiBot is een infostealer die voor het eerst werd geïdentificeerd in 2016 en is ontworpen om gegevens te stelen van verschillende toepassingen, waaronder browsers en FTP-clients. Deze e-mails bevatten een bijlage bij een Excel-document waarin gebruikers werden gevraagd macro's in te schakelen. De aanvallers maakten gebruik van een bekende kwetsbaarheid (CVE-2017-0199) in Microsoft Office, wat leidde tot het downloaden van een RTF-document. Dit RTF-document maakte vervolgens gebruik van een andere kwetsbaarheid (CVE-2017-11882) om de LokiBot-malware af te leveren en uit te voeren.
"De opleving van Emotet, de voortdurende aanwezigheid van Lokibot en de verschijning van DarkGate herinneren ons eraan dat cyberbedreigingen voortdurend in beweging zijn. Aangezien deze malwarestammen zich aanpassen en nieuwe infectiemethoden aannemen, is het cruciaal voor individuen en bedrijven om waakzaam te blijven en te investeren in robuuste cybersecurityoplossingen. Kaspersky's voortdurende onderzoek en detectie van DarkGate, Emotet en Lokibot onderstrepen het belang van proactieve maatregelen ter bescherming tegen evoluerende cybergevaren," zegt Jornt van der Wiel, senior security researcher bij Kaspersky's Global Research and Analysis Team.
Lees meer over nieuwe infectiemethoden op
Securelist.
###
Over Kaspersky
Kaspersky, opgericht in 1997, is wereldwijd actief op het gebied van cybersecurity en digital privacy. Kaspersky’s threat intelligence en security-expertise worden voortdurend omgezet in innovatieve security-oplossingen en -diensten om bedrijven, kritieke infrastructuren, overheden en consumenten van over de hele wereld te beschermen. Het uitgebreide securityportfolio van het bedrijf omvat toonaangevende endpoint security en een aantal gespecialiseerde security-oplossingen en -diensten om geavanceerde digitale bedreigingen te bestrijden. Meer dan 400 miljoen gebruikers en 240.000 zakelijke gebruikers worden beschermd door technologieën van Kaspersky. Kijk voor meer informatie op
www.kaspersky.nl.