カスペルスキーによる分析により、マルウェア株が使用する複雑な感染戦術が明らかになりました。 これによると、有名なボットネット Emotet は、OneNote ファイルを介した新たな感染経路を使用して報告を行い、企業を攻撃しているとのことです。 さらに、ローダー DarkGate には多数の新機能が装備されており、LokiBot は Excel 添付ファイルを含むフィッシングメールで貨物船会社をターゲットにしています。
Kaspersky の最新レポートでは、DarkGate、Emotet、LokiBot マルウェアが現在使用している高度な感染戦術を明らかにしています。 DarkGate の独自の暗号化、Emotet の堅実な復活、および LokiBot の進行中のエクスプロイトは、進化し続けるサイバーセキュリティ環境の必要性を強調しています。
Emotet は OneNote ファイルを使用して悪意のあるスクリプトを実行します
悪名高いボットネット Emotet が 2021 年に閉鎖されてから、カスペルスキーの活動が再び活発になっています。 現在のキャンペーンでは、ユーザーは悪意のある OneNote ファイルを開いた後、無意識のうちに隠蔽および偽装された VBScript の実行をトリガーします。 その後、スクリプトは、システムへの侵入が成功するまで、さまざまな Web サイトから悪意のあるペイロードのダウンロードを試みます。 その後、Emotet は一時ディレクトリに DLL を配置して実行します。 この DLL には、隠しコマンドまたはシェルコードと暗号化されたインポート関数が含まれています。 リソース セクションから特定のファイルを復号化することで、Emotet が優位に立ち、最終的には悪意のあるペイロードを実行します。
DarkGate: 一般的なダウンローダー機能以上のもの
2023年64月、カスペルスキーの専門家は、一般的なダウンローダーの機能を超えたさまざまな機能を搭載した新しいローダー「DarkGate」を発見しました。 これらには、隠蔽された仮想ネットワーク コンピューティング (VNC)、Windows Defender の無効化、ブラウザ履歴の盗用、リバース プロキシ、不正なファイル管理、Discord トークンの盗聴などが含まれます。 DarkGate は、DarkGate 自体の読み込みにつながるように設計された XNUMX 段階のチェーンを介して動作します。 このローダーは、暗号化タイプが他のローダーとは異なります。これには、個人用キーを含む文字列と、特殊な文字セットを使用する BaseXNUMX エンコードのカスタマイズされたバージョンが含まれます。
LokiBot は Excel 添付ファイルを使用して貨物船会社をターゲットにします
さらに、カスペルスキーは、LokiBot を使用した貨物船会社をターゲットとしたフィッシング キャンペーンを発見しました。 LokiBot は 2016 年に初めて確認され、サイバー犯罪者がブラウザや FTP クライアントなどのさまざまなアプリケーションからログイン認証情報を盗むために使用する情報窃盗ツールです。 このキャンペーンでは、ユーザーにマクロを有効にするよう求める Excel 添付ファイル付きの電子メールが送信されました。 これを行うために、攻撃者は Microsoft Office の既知の脆弱性 (CVE-2017-0199) を悪用し、RTF ドキュメントのダウンロードを引き起こしました。 この RTF ドキュメントは、別の脆弱性 (CVE-2017-11882) を利用して、LokiBot マルウェアを挿入して実行します。
「Emotet の復活、LokiBot の継続的な存在、DarkGate の出現は、サイバー脅威が絶えず進化していることを思い出させます」とカスペルスキーのグローバル調査分析チーム (GReAT) の上級セキュリティ研究員、ヨルント ファン デル ヴィールは述べています。 「これらの悪意のあるプログラムが新しい感染方法に適応し進化するため、個人と企業の両方が警戒し、堅牢なサイバーセキュリティ ソリューションに投資することが重要です。 これらのマルウェア株に関する当社の継続的な調査と発見は、進化し続けるサイバー脅威から保護するためのプロアクティブなセキュリティ対策の重要性を強調しています。」
詳細は Kaspersky.com をご覧ください
カスペルスキーについて Kaspersky は、1997 年に設立された国際的なサイバーセキュリティ企業です。 Kaspersky の脅威インテリジェンスとセキュリティに関する深い専門知識は、革新的なセキュリティ ソリューションとサービスの基盤として機能し、世界中の企業、重要なインフラストラクチャ、政府、および消費者を保護します。 同社の包括的なセキュリティ ポートフォリオには、最先端のエンドポイント プロテクションと、複雑で進化するサイバー脅威から防御するためのさまざまな専門的なセキュリティ ソリューションとサービスが含まれています。 400 億を超えるユーザーと 250.000 の法人顧客がカスペルスキーのテクノロジーによって保護されています。 カスペルスキーの詳細については、www.kaspersky.com/ をご覧ください。