El análisis de Kaspersky revela intrincadas tácticas de infección utilizadas por las cepas de malware. Según esto, la famosa botnet Emotet está utilizando una nueva ruta de infección a través de los archivos de OneNote para informar y atacar a las empresas; Además, el cargador DarkGate ha sido equipado con numerosas funciones nuevas y LokiBot apunta a las empresas de buques de carga en correos electrónicos de phishing con archivos adjuntos de Excel.
El último informe de Kaspersky revela las sofisticadas tácticas de infección actuales utilizadas por el malware DarkGate, Emotet y LokiBot. El cifrado único de DarkGate y el sólido regreso de Emotet y las continuas hazañas de LokiBot subrayan la necesidad de un panorama de ciberseguridad en constante evolución.
Emotet usa el archivo OneNote para ejecutar scripts maliciosos
Después de que la infame botnet Emotet se cerró en 2021, Kaspersky ahora ha visto una actividad renovada. En la campaña actual, los usuarios, sin saberlo, activan la ejecución de un VBScript oculto y disfrazado después de abrir un archivo malicioso de OneNote. Luego, el script intenta descargar una carga útil maliciosa de varios sitios web hasta que el sistema se infiltra con éxito. Después de eso, Emotet coloca una DLL en el directorio temporal y la ejecuta. Esta DLL incluye comandos ocultos o shellcode y funciones de importación cifradas. Al descifrar un archivo específico del área de recursos, Emotet gana ventaja y eventualmente ejecuta su carga dañina.
DarkGate: funciones de descarga más que típicas
En junio de 2023, los expertos de Kaspersky descubrieron el nuevo cargador 'DarkGate', que está equipado con una variedad de funciones que van más allá de las típicas funciones de descarga. Estos incluyen Computación de red virtual (VNC) oculta, deshabilitar Windows Defender, robar el historial del navegador, proxy inverso, administración de archivos no autorizada y tocar tokens de Discord. DarkGate funciona a través de una cadena de cuatro etapas diseñada para conducir a la carga de DarkGate. El cargador se diferencia de los demás en su tipo de cifrado, que incluye cadenas de caracteres con claves personalizadas y una versión personalizada de codificación Base64 que utiliza un juego de caracteres especial.
LokiBot se dirige a las empresas de buques de carga que utilizan archivos adjuntos de Excel
Además, Kaspersky descubrió una campaña de phishing dirigida a empresas de buques de carga que utilizaban LokiBot. Identificado por primera vez en 2016, LokiBot es un ladrón de información que los ciberdelincuentes utilizan para robar credenciales de inicio de sesión de varias aplicaciones, incluidos navegadores y clientes FTP. Esta campaña envió correos electrónicos con un archivo adjunto de Excel que pedía a los usuarios que habilitaran las macros. Para ello, los atacantes aprovecharon una vulnerabilidad conocida (CVE-2017-0199) en Microsoft Office, lo que provocó la descarga de un documento RTF. Este documento RTF luego usa otra vulnerabilidad (CVE-2017-11882) para inyectar y ejecutar el malware LokiBot.
"El regreso de Emotet, la presencia continua de LokiBot y la aparición de DarkGate son un recordatorio de que las ciberamenazas están en constante evolución", dijo Jornt van der Wiel, investigador sénior de seguridad en el Equipo de análisis e investigación global (GReAT) de Kaspersky. “A medida que estos programas maliciosos se adaptan y desarrollan nuevos métodos de infección, es fundamental que tanto las personas como las empresas estén atentas e inviertan en soluciones robustas de ciberseguridad. Nuestra investigación y descubrimiento en curso de estas cepas de malware subraya la importancia de las medidas de seguridad proactivas para proteger contra las ciberamenazas en constante evolución”.
Más en Kaspersky.com
Acerca de Kaspersky Kaspersky es una empresa internacional de ciberseguridad fundada en 1997. La profunda inteligencia de amenazas y la experiencia en seguridad de Kaspersky sirven como base para soluciones y servicios de seguridad innovadores para proteger empresas, infraestructura crítica, gobiernos y consumidores en todo el mundo. La cartera de seguridad integral de la empresa incluye una protección líder para puntos finales y una variedad de soluciones y servicios de seguridad especializados para defenderse contra amenazas cibernéticas complejas y en constante evolución. Más de 400 millones de usuarios y 250.000 XNUMX clientes corporativos están protegidos por las tecnologías de Kaspersky. Más información sobre Kaspersky en www.kaspersky.com/