L'analisi di Kaspersky rivela complesse tattiche di infezione utilizzate dai ceppi di malware. In base a ciò, la famosa botnet Emotet sta utilizzando una nuova via di infezione tramite i file di OneNote per segnalare e attaccare le aziende; Inoltre, il caricatore DarkGate è stato dotato di numerose nuove funzionalità e LokiBot prende di mira le compagnie di navi da carico nelle e-mail di phishing con allegati Excel.
L'ultimo rapporto di Kaspersky rivela le attuali sofisticate tattiche di infezione utilizzate dai malware DarkGate, Emotet e LokiBot. La crittografia unica di DarkGate, il robusto ritorno di Emotet e gli exploit in corso di LokiBot sottolineano la necessità di un panorama di sicurezza informatica in continua evoluzione.
Emotet utilizza il file OneNote per eseguire script dannosi
Dopo che la famigerata botnet Emotet è stata chiusa nel 2021, Kaspersky ha visto una ripresa dell'attività. Nella campagna attuale, gli utenti attivano inconsapevolmente l'esecuzione di un VBScript nascosto e camuffato dopo aver aperto un file OneNote dannoso. Lo script tenta quindi di scaricare un payload dannoso da vari siti Web fino a quando il sistema non viene infiltrato correttamente. Successivamente, Emotet inserisce una DLL nella directory temporanea e la esegue. Questa DLL include comandi nascosti o shellcode e funzioni di importazione crittografate. Decrittando un file specifico dalla sezione delle risorse, Emotet prende il sopravvento e alla fine esegue il suo payload dannoso.
DarkGate: più delle tipiche funzioni di downloader
Nel giugno 2023, gli esperti di Kaspersky hanno scoperto il nuovo caricatore "DarkGate", dotato di una varietà di funzioni che vanno oltre le tipiche funzioni di downloader. Questi includono il Virtual Network Computing (VNC) nascosto, la disabilitazione di Windows Defender, il furto della cronologia del browser, il proxy inverso, la gestione dei file non autorizzata e il tocco dei token Discord. DarkGate funziona tramite una catena a quattro stadi progettata per portare al caricamento di DarkGate stesso. Il caricatore si differenzia dagli altri per il tipo di crittografia, che include stringhe di caratteri con chiavi personalizzate e una versione personalizzata della codifica Base64 che utilizza un set di caratteri speciale.
LokiBot prende di mira le compagnie di navi da carico utilizzando allegati Excel
Inoltre, Kaspersky ha scoperto una campagna di phishing che prendeva di mira le compagnie di trasporto merci che utilizzavano LokiBot. Identificato per la prima volta nel 2016, LokiBot è un infostealer che i criminali informatici utilizzano per rubare le credenziali di accesso da varie applicazioni, inclusi browser e client FTP. Questa campagna ha inviato e-mail con un allegato Excel chiedendo agli utenti di abilitare le macro. Per fare ciò, gli aggressori hanno sfruttato una vulnerabilità nota (CVE-2017-0199) in Microsoft Office, che ha portato al download di un documento RTF. Questo documento RTF utilizza quindi un'altra vulnerabilità (CVE-2017-11882) per iniettare ed eseguire il malware LokiBot.
"Il ritorno di Emotet, la continua presenza di LokiBot e l'emergere di DarkGate ci ricordano che le minacce informatiche sono in continua evoluzione", ha dichiarato Jornt van der Wiel, Senior Security Researcher del Global Research & Analysis Team (GReAT) di Kaspersky. “Poiché questi programmi dannosi si adattano ed evolvono nuovi metodi di infezione, è fondamentale sia per gli individui che per le aziende essere vigili e investire in solide soluzioni di sicurezza informatica. La nostra continua ricerca e scoperta di questi ceppi di malware sottolinea l'importanza di misure di sicurezza proattive per proteggere dalle minacce informatiche in continua evoluzione".
Altro su Kaspersky.com
A proposito di Kaspersky Kaspersky è una società internazionale di sicurezza informatica fondata nel 1997. La profonda competenza in materia di sicurezza e intelligence sulle minacce di Kaspersky funge da base per soluzioni e servizi di sicurezza innovativi per proteggere aziende, infrastrutture critiche, governi e consumatori in tutto il mondo. L'ampio portafoglio di sicurezza dell'azienda comprende la protezione degli endpoint leader e una gamma di soluzioni e servizi di sicurezza specializzati per difendersi da minacce informatiche complesse e in continua evoluzione. Oltre 400 milioni di utenti e 250.000 clienti aziendali sono protetti dalle tecnologie Kaspersky. Maggiori informazioni su Kaspersky su www.kaspersky.com/