Eine Analyse von Kaspersky deckt komplizierte Infektionstaktiken von Malware-Stämmen auf. Demnach meldet sich das berühmte Botnet Emotet mittels neuem Infektionsweg über OneNote-Dateien zurück und greift Unternehmen an; zusätzlich wurde der Loader DarkGate mit zahlreichen neuen Features ausgestattet und LokiBot zielt in Phishing-Mails mit Excel-Anhängen auf Frachtschiffunternehmen ab.
Kasperskys aktueller Bericht zeigt die aktuellen komplizierten Infektionstaktiken der Schadprogramme DarkGate, Emotet und LokiBot auf. Die einzigartige Verschlüsselung von DarkGate und das robuste Comeback von Emotet sowie die anhaltenden Exploits von LokiBot unterstreichen die Notwendigkeit einer sich ständig weiterentwickelnden Cybersicherheitslandschaft.
Emotet nutzt OneNote-Datei zur Ausführung schädlicher Scripts
Nachdem das berüchtigte Botnet Emotet im Jahr 2021 abgeschaltet wurde, verzeichnete Kaspersky nun erneut Aktivitäten. Bei der aktuellen Kampagne lösen Anwender unwissentlich nach dem Öffnen einer schädlichen OneNote-Datei die Ausführung eines versteckten und getarnten VBScripts aus. Das Skript versucht dann so lange, eine schädliche Payload von verschiedenen Websites herunterzuladen, bis das System erfolgreich infiltriert wurde. Danach legt Emotet eine DLL im temporären Verzeichnis ab und sorgt für deren Ausführung. Diese DLL umfasst versteckte Befehle oder Shellcode sowie verschlüsselte Importfunktionen. Indem eine bestimmte Datei aus dem Ressourcenbereich entschlüsselt wird, gewinnt Emotet die Oberhand und führt schließlich seinen schädlichen Payload aus.
DarkGate: mehr als typische Downloader-Funktionen
Im Juni 2023 entdeckten die Experten von Kaspersky den neuen Loader ‚DarkGate‘, der mit einer Vielzahl von Funktionen ausgestattet ist, die über typische Downloader-Funktionen hinausgehen. Dazu zählen unter anderem ein verstecktes Virtual Network Computing (VNC), die Deaktivierung von Windows Defender, das Stehlen des Browserverlaufs, Reverse Proxy, unerlaubte Dateiverwaltung und das Abgreifen von Discord-Tokens. DarkGate funktioniert über eine Vier-Stufen-Kette, die so konzipiert ist, dass sie zum Laden von DarkGate selbst führt. Der Loader unterscheidet sich von anderen in seiner Verschlüsselungsart, die Zeichenketten mit personalisierten Schlüsseln umfasst sowie einer angepassten Version der Base64-Kodierung, die einen speziellen Zeichensatz verwendet.
LokiBot zielt mittels Excel-Anhängen auf Frachtschiffunternehmen ab
Darüber hinaus entdeckte Kaspersky eine Phishing-Kampagne, die mit LokiBot auf Frachtschiffunternehmen abzielt. LokiBot ist ein Infostealer, der erstmals im Jahr 2016 identifiziert wurde und Cyberkriminellen dazu dient, Anmeldeinformationen von verschiedenen Anwendungen, einschließlich Browsern und FTP-Clients, zu stehlen. Bei dieser Kampagne wurden E-Mails mit einem Excel-Anhang verschickt, in dem die Nutzer aufgefordert wurden, Makros zu aktivieren. Dazu nutzten die Angreifer eine bekannte Sicherheitslücke (CVE-2017-0199) in Microsoft Office aus, die zum Download eines RTF-Dokuments führte. Dieses RTF-Dokument verwendet anschließend eine weitere Schwachstelle (CVE-2017-11882), um LokiBot-Malware einzuschleusen und auszuführen.
„Die Rückkehr von Emotet, die anhaltende Präsenz von LokiBot sowie das Auftauchen von DarkGate sind eine Erinnerung daran, dass sich Cyberbedrohungen ständig weiterentwickeln“, kommentiert Jornt van der Wiel, Senior Security Researcher im Global Research & Analysis Team (GReAT) bei Kaspersky. „Angesichts der Tatsache, dass sich diese Schadprogramme anpassen und neue Infektionsmethoden entwickeln, ist es sowohl für Privatpersonen als auch für Unternehmen entscheidend, wachsam zu sein und in robuste Cybersicherheitslösungen zu investieren. Unsere fortlaufenden Untersuchungen und Entdeckung diese Malwarestämme betreffend unterstreichen die Bedeutung proaktiver Sicherheitsmaßnahmen zum Schutz vor stetig fortschreitenden Cybergefahren.“
Mehr bei Kaspersky.com
Über Kaspersky Kaspersky ist ein internationales Cybersicherheitsunternehmen, das im Jahr 1997 gegründet wurde. Die tiefgreifende Threat Intelligence sowie Sicherheitsexpertise von Kaspersky dient als Grundlage für innovative Sicherheitslösungen und -dienste, um Unternehmen, kritische Infrastrukturen, Regierungen und Privatanwender weltweit zu schützen. Das umfassende Sicherheitsportfolio des Unternehmens beinhaltet führenden Endpoint-Schutz sowie eine Reihe spezialisierter Sicherheitslösungen und -Services zur Verteidigung gegen komplexe und sich weiter entwickelnde Cyberbedrohungen. Über 400 Millionen Nutzer und 250.000 Unternehmenskunden werden von den Technologien von Kaspersky geschützt. Weitere Informationen zu Kaspersky unter www.kaspersky.com/