Infektionstaktiken von Emotet, DarkGate, und LokiBot

B2B Cyber Security ShortNews

Beitrag teilen

Eine Analyse von Kaspersky deckt komplizierte Infektionstaktiken von Malware-Stämmen auf. Demnach meldet sich das berühmte Botnet Emotet mittels neuem Infektionsweg über OneNote-Dateien zurück und greift Unternehmen an; zusätzlich wurde der Loader DarkGate mit zahlreichen neuen Features ausgestattet und LokiBot zielt in Phishing-Mails mit Excel-Anhängen auf Frachtschiffunternehmen ab.

Kasperskys aktueller Bericht zeigt die aktuellen komplizierten Infektionstaktiken der Schadprogramme DarkGate, Emotet und LokiBot auf. Die einzigartige Verschlüsselung von DarkGate und das robuste Comeback von Emotet sowie die anhaltenden Exploits von LokiBot unterstreichen die Notwendigkeit einer sich ständig weiterentwickelnden Cybersicherheitslandschaft.

Anzeige

Emotet nutzt OneNote-Datei zur Ausführung schädlicher Scripts

Nachdem das berüchtigte Botnet Emotet im Jahr 2021 abgeschaltet wurde, verzeichnete Kaspersky nun erneut Aktivitäten. Bei der aktuellen Kampagne lösen Anwender unwissentlich nach dem Öffnen einer schädlichen OneNote-Datei die Ausführung eines versteckten und getarnten VBScripts aus. Das Skript versucht dann so lange, eine schädliche Payload von verschiedenen Websites herunterzuladen, bis das System erfolgreich infiltriert wurde. Danach legt Emotet eine DLL im temporären Verzeichnis ab und sorgt für deren Ausführung. Diese DLL umfasst versteckte Befehle oder Shellcode sowie verschlüsselte Importfunktionen. Indem eine bestimmte Datei aus dem Ressourcenbereich entschlüsselt wird, gewinnt Emotet die Oberhand und führt schließlich seinen schädlichen Payload aus.

DarkGate: mehr als typische Downloader-Funktionen

Im Juni 2023 entdeckten die Experten von Kaspersky den neuen Loader ‚DarkGate‘, der mit einer Vielzahl von Funktionen ausgestattet ist, die über typische Downloader-Funktionen hinausgehen. Dazu zählen unter anderem ein verstecktes Virtual Network Computing (VNC), die Deaktivierung von Windows Defender, das Stehlen des Browserverlaufs, Reverse Proxy, unerlaubte Dateiverwaltung und das Abgreifen von Discord-Tokens. DarkGate funktioniert über eine Vier-Stufen-Kette, die so konzipiert ist, dass sie zum Laden von DarkGate selbst führt. Der Loader unterscheidet sich von anderen in seiner Verschlüsselungsart, die Zeichenketten mit personalisierten Schlüsseln umfasst sowie einer angepassten Version der Base64-Kodierung, die einen speziellen Zeichensatz verwendet.

LokiBot zielt mittels Excel-Anhängen auf Frachtschiffunternehmen ab

Darüber hinaus entdeckte Kaspersky eine Phishing-Kampagne, die mit LokiBot auf Frachtschiffunternehmen abzielt. LokiBot ist ein Infostealer, der erstmals im Jahr 2016 identifiziert wurde und Cyberkriminellen dazu dient, Anmeldeinformationen von verschiedenen Anwendungen, einschließlich Browsern und FTP-Clients, zu stehlen. Bei dieser Kampagne wurden E-Mails mit einem Excel-Anhang verschickt, in dem die Nutzer aufgefordert wurden, Makros zu aktivieren. Dazu nutzten die Angreifer eine bekannte Sicherheitslücke (CVE-2017-0199) in Microsoft Office aus, die zum Download eines RTF-Dokuments führte. Dieses RTF-Dokument verwendet anschließend eine weitere Schwachstelle (CVE-2017-11882), um LokiBot-Malware einzuschleusen und auszuführen.

„Die Rückkehr von Emotet, die anhaltende Präsenz von LokiBot sowie das Auftauchen von DarkGate sind eine Erinnerung daran, dass sich Cyberbedrohungen ständig weiterentwickeln“, kommentiert Jornt van der Wiel, Senior Security Researcher im Global Research & Analysis Team (GReAT) bei Kaspersky. „Angesichts der Tatsache, dass sich diese Schadprogramme anpassen und neue Infektionsmethoden entwickeln, ist es sowohl für Privatpersonen als auch für Unternehmen entscheidend, wachsam zu sein und in robuste Cybersicherheitslösungen zu investieren. Unsere fortlaufenden Untersuchungen und Entdeckung diese Malwarestämme betreffend unterstreichen die Bedeutung proaktiver Sicherheitsmaßnahmen zum Schutz vor stetig fortschreitenden Cybergefahren.“

Mehr bei Kaspersky.com

 


Über Kaspersky

Kaspersky ist ein internationales Cybersicherheitsunternehmen, das im Jahr 1997 gegründet wurde. Die tiefgreifende Threat Intelligence sowie Sicherheitsexpertise von Kaspersky dient als Grundlage für innovative Sicherheitslösungen und -dienste, um Unternehmen, kritische Infrastrukturen, Regierungen und Privatanwender weltweit zu schützen. Das umfassende Sicherheitsportfolio des Unternehmens beinhaltet führenden Endpoint-Schutz sowie eine Reihe spezialisierter Sicherheitslösungen und -Services zur Verteidigung gegen komplexe und sich weiter entwickelnde Cyberbedrohungen. Über 400 Millionen Nutzer und 250.000 Unternehmenskunden werden von den Technologien von Kaspersky geschützt. Weitere Informationen zu Kaspersky unter www.kaspersky.com/


 

Passende Artikel zum Thema

BSI: Brute-Force-Angriffe gegen Citrix Netscaler Gateways

Aktuell werden dem BSI verstärkt Brute-Force-Angriffe gegen Citrix Netscaler Gateways aus verschiedenen KRITIS-Sektoren sowie von internationalen Partnern gemeldet. Die aktuellen ➡ Weiterlesen

Mutmaßliche Spionagekampagne mit Malware namens Voldemort

Cybersecurity-Experten konnten eine großangelegte Malware-Kampagne namens Voldemort identifizieren. Die Malware, die dabei zum Einsatz kommt, wurde dabei über Phishing-E-Mails verbreitet. ➡ Weiterlesen

Cyberangriffe kosten im Schnitt 1 Million US-Dollar

Cyberangriffe kosten Unternehmen in Deutschland fast genauso viel wie ihre jährlichen Investitionen in Cybersicherheit. Insgesamt beträgt  das durchschnittliche IT-Budget 5,9 ➡ Weiterlesen

Brillen.de meldet Datenleck mit Kundendaten

Der Anbieter Brillen.de musste seinen Kunden ein Datenleck mitteilen. So soll für eine kurze Zeit ein externer Zugriff auf Kundendaten ➡ Weiterlesen

Schwachstellen in IoT-Cloud-Plattform OvrC

Sicherheitsforscher haben insgesamt zehn Schwachstellen in der OvrC-Cloudplattform entdeckt. Dadurch war es Angreifern möglich, auf Geräte wie Kameras, Router oder ➡ Weiterlesen

Cyberangriffe auf Rekordkurs – kommt KI zu Hilfe?

Die Bedrohungslage im Bereich Cybersicherheit ist hierzulande weiterhin angespannt: Laut einer Bitkom-Umfrage aus dem Sommer waren im Erhebungszeitraum 81 Prozent ➡ Weiterlesen

eCommerce-Marktplatz im Darknet mit Black Friday 

Es ist eine Parallelwelt: Kunden bewerten in Shops im Darknet die Qualität des beworbenen Falschgelds, Handfeuerwaffe bis hin zur Panzerfaust ➡ Weiterlesen

Russische Malware-Kampagne

Im September 2024 entdeckte die Google Threat Analysis Group (TAG) und Mandiant „UNC5812“, eine mutmaßliche hybride russische Spionage- und Beeinflussungskampagne. ➡ Weiterlesen