L'analyse de Kaspersky révèle des tactiques d'infection complexes utilisées par les souches de logiciels malveillants. Selon cela, le célèbre botnet Emotet signale en utilisant une nouvelle route d'infection via les fichiers OneNote et attaque les entreprises ; De plus, le chargeur DarkGate a été équipé de nombreuses nouvelles fonctionnalités et LokiBot cible les compagnies de cargos dans des e-mails de phishing avec des pièces jointes Excel.
Le dernier rapport de Kaspersky révèle les tactiques d'infection sophistiquées actuellement utilisées par les logiciels malveillants DarkGate, Emotet et LokiBot. Le cryptage unique de DarkGate, le retour en force d'Emotet et les exploits continus de LokiBot soulignent la nécessité d'un paysage de cybersécurité en constante évolution.
Emotet utilise le fichier OneNote pour exécuter des scripts malveillants
Après la fermeture du tristement célèbre botnet Emotet en 2021, Kaspersky a maintenant connu un regain d'activité. Dans la campagne actuelle, les utilisateurs déclenchent sans le savoir l'exécution d'un VBScript caché et déguisé après avoir ouvert un fichier OneNote malveillant. Le script essaie ensuite de télécharger une charge utile malveillante à partir de divers sites Web jusqu'à ce que le système soit infiltré avec succès. Après cela, Emotet place une DLL dans le répertoire temporaire et l'exécute. Cette DLL comprend des commandes cachées ou un shellcode et des fonctions d'importation cryptées. En déchiffrant un fichier spécifique de la section des ressources, Emotet prend le dessus et finit par exécuter sa charge utile malveillante.
DarkGate : plus que des fonctions de téléchargement typiques
En juin 2023, les experts de Kaspersky ont découvert le nouveau chargeur "DarkGate", qui est équipé d'une variété de fonctions qui vont au-delà des fonctions de téléchargement typiques. Ceux-ci incluent le Virtual Network Computing (VNC) caché, la désactivation de Windows Defender, le vol de l'historique du navigateur, le proxy inverse, la gestion de fichiers non autorisés et l'utilisation de jetons Discord. DarkGate fonctionne via une chaîne en quatre étapes conçue pour conduire au chargement de DarkGate lui-même. Le chargeur diffère des autres par son type de cryptage, qui comprend des chaînes de caractères avec des clés personnalisées et une version personnalisée du codage Base64 qui utilise un jeu de caractères spécial.
LokiBot cible les compagnies de cargos utilisant des pièces jointes Excel
De plus, Kaspersky a découvert une campagne de phishing ciblant les compagnies de cargos utilisant LokiBot. Identifié pour la première fois en 2016, LokiBot est un voleur d'informations que les cybercriminels utilisent pour voler les identifiants de connexion de diverses applications, y compris les navigateurs et les clients FTP. Cette campagne a envoyé des e-mails avec une pièce jointe Excel demandant aux utilisateurs d'activer les macros. Pour ce faire, les attaquants ont exploité une vulnérabilité connue (CVE-2017-0199) dans Microsoft Office, qui a conduit au téléchargement d'un document RTF. Ce document RTF utilise ensuite une autre vulnérabilité (CVE-2017-11882) pour injecter et exécuter le malware LokiBot.
« Le retour d'Emotet, la présence continue de LokiBot et l'émergence de DarkGate nous rappellent que les cybermenaces évoluent constamment », a déclaré Jornt van der Wiel, chercheur principal en sécurité au sein de l'équipe mondiale de recherche et d'analyse (GReAT) de Kaspersky. "Alors que ces programmes malveillants s'adaptent et font évoluer de nouvelles méthodes d'infection, il est crucial pour les particuliers et les entreprises d'être vigilants et d'investir dans des solutions de cybersécurité robustes. Nos recherches et nos découvertes continues sur ces souches de logiciels malveillants soulignent l'importance de mesures de sécurité proactives pour se protéger contre les cybermenaces en constante évolution.
Plus sur Kaspersky.com
À propos de Kaspersky Kaspersky est une société internationale de cybersécurité fondée en 1997. L'expertise approfondie de Kaspersky en matière de renseignements sur les menaces et de sécurité sert de base à des solutions et des services de sécurité innovants pour protéger les entreprises, les infrastructures critiques, les gouvernements et les consommateurs du monde entier. Le portefeuille de sécurité complet de la société comprend une protection des terminaux de pointe et une gamme de solutions et de services de sécurité spécialisés pour se défendre contre les cybermenaces complexes et évolutives. Plus de 400 millions d'utilisateurs et 250.000 XNUMX entreprises clientes sont protégées par les technologies Kaspersky. Plus d'informations sur Kaspersky sur www.kaspersky.com/