Το Emotet επιστρέφει, το Lokibot επιμένει – Νέες μέθοδοι μόλυνσης

Η νέα έκθεση της Kaspersky αποκαλύπτει τους τρόπους μόλυνσης από κακόβουλο λογισμικό τύπου DarkGate, Emotet και LokiBot. Η μοναδική κρυπτογράφηση του DarkGate, η δυναμική επανεμφάνιση του Emotet και τα exploits του LokiBot καταδεικνύουν το συνεχώς εξελισσόμενο τοπίο της κυβερνοασφάλειας.

hack code

Τον Ιούνιο του 2023, οι ερευνητές της Kaspersky ανακάλυψαν ένα νέο loader με την ονομασία DarkGate, το οποίο διαθέτει μια σειρά από χαρακτηριστικά που ξεπερνούν τις τυπικές λειτουργίες των downloader. Ορισμένες από τις αξιοσημείωτες λειτουργίες του περιλαμβάνουν κρυφό VNC, παράκαμψη του Windows Defender, υποκλοπή του ιστορικού των προγραμμάτων περιήγησης, αντίστροφο proxy, πρόσβαση σε αλλά και κλοπή token από το Discord.

Η λειτουργία του DarkGate περιλαμβάνει μια διαδικασία που αποτελείται από τέσσερα ειδικά διαμορφωμένα μέρη, το οποία εξυπηρετούν την εκτέλεση του προγράμματος DarkGate. Tο συγκεκριμένο πρόγραμμα αποτελεί μοναδικό τρόπο κρυπτογράφησης με τη χρήση εξατομικευμένων κλειδιών, ενώ παράλληλα χρησιμοποιεί μια προσαρμοσμένη έκδοση της κωδικοποίησης Base64 που βασίζεται σε ένα ειδικό σύνολο χαρακτήρων.

Επιπλέον, η έρευνα της Kaspersky αναλύει μια από τις λειτουργίες του Emotet, ενός διαβόητου botnet που επανεμφανίστηκε υστέρα από την αντιμετώπισή του το 2021. Στην τωρινή έκδοση του Emotet, όταν οι ανοίγουν κάποιο μολυσμένο OneNote, τότε άθελά τους ενεργοποιούν το κεκαλυμμένο VBScript. Στη συνέχεια, το VBScript προσπαθεί να κατεβάσει επιβλαβές υλικό από διάφορους ισότοπους με σκοπό να επιτύχει την πλήρη πρόσβαση στο σύστημα. Αφού επιτύχει τον σκοπό του, το Emotet εγκαθιστά ένα DLL στον προσωρινό κατάλογο και στη συνέχεια το εκτελεί. Αυτό το DLL περιέχει κρυφές οδηγίες ή κάποιο shellcode μαζί με κρυπτογραφημένες λειτουργίες εισαγωγής. Αποκρυπτογραφώντας ένα συγκεκριμένο αρχείο, το Emotet αποκτά τον έλεγχο του συστήματος, επιτυγχάνοντας να θέσει σε λειτουργία το κακόβουλο λογισμικό.

Τέλος, η Kaspersky εντόπισε μια phishing εκστρατεία που στόχευε εταιρείες φορτηγών πλοίων μέσω του LokiBot. Πρόκειται για ένα infostealer που εντοπίστηκε για πρώτη φορά το 2016 και έχει σχεδιαστεί για να υποκλέπτει δεδομένα από διάφορες εφαρμογές, όπως για παράδειγμα κάποιο πρόγραμμα περιήγησης και FTP clients. Αυτά τα emails έφεραν ένα συνημμένο έγγραφο Excel, το οποίο προέτρεπε τους χρήστες να ενεργοποιήσουν μακροεντολές στο Excel. Οι επιτιθέμενοι εκμεταλλεύτηκαν μια γνωστή ευπάθεια (CVE-2017-0199) στο Microsoft , η οποία οδηγεί στη λήψη ενός εγγράφου RTF. Έπειτα, αυτό το έγγραφο RTF εκμεταλλεύεται μια ακόμα ευπάθεια (CVE-2017-11882) που οδηγεί στην εκτέλεση του malware, LokiBot.

«Η επανεμφάνιση του Emotet, η συνεχής παρουσία του Lokibot, καθώς και η εμφάνιση του DarkGate αποτελούν υπενθύμιση για τις εξελισσόμενες απειλές στον κυβερνοχώρο. Αυτοί οι τύποι κακόβουλου λογισμικού προσαρμόζονται και μπορούν να υιοθετήσουν νέες μεθόδους. Συνεπώς, είναι ζωτικής σημασίας για τους ιδιώτες και τις επιχειρήσεις να παραμείνουν σε επαγρύπνηση, επενδύοντας σε ισχυρές λύσεις κυβερνοασφάλειας. Η διαρκής έρευνα της Κaspersky και ο εντοπισμός των DarkGate, Emotet και Lokibot υπογραμμίζουν τη σημασία των προληπτικών μέτρων για την προστασία από τους εξελισσόμενους κινδύνους στον κυβερνοχώρο», σχολιάζει ο Jornt van der Wiel, ανώτερος ερευνητής ασφάλειας στην Παγκόσμια Ομάδα Έρευνας και Ανάλυσης της Kaspersky.

Μάθετε περισσότερα για τις νέες μεθόδους μόλυνσης στο Securelist.

Για να προστατεύσετε τον εαυτό σας και την επιχείρησή σας από επιθέσεις ransomware, η Kaspersky προτείνει τα παρακάτω:

  • Διατηρείτε πάντα ενημερωμένο το λογισμικό σε όλες τις συσκευές που χρησιμοποιείτε, ώστε να αποτρέψετε τους επιτιθέμενους από το να εκμεταλλευτούν τα τρωτά σημεία και να διεισδύσουν στο δίκτυό σας.

  • Επικεντρώστε την αμυντική σας στρατηγική στον εντοπισμό τυχόν υπόπτων κινήσεων και διαρροών δεδομένων στο διαδίκτυο. Δώστε ιδιαίτερη προσοχή στην εξερχόμενη κυκλοφορία για να εντοπίζετε τις συνδέσεις των κακόβουλων χρηστών στο δίκτυό σας. Δημιουργήστε αντίγραφα ασφαλείας εκτός σύνδεσης, τα οποία δεν μπορούν να παραβιάσουν οι εισβολείς. Βεβαιωθείτε ότι μπορείτε να έχετε γρήγορη πρόσβαση σε αυτά όταν χρειάζεται ή σε περίπτωση έκτακτης ανάγκης.

  • Ενεργοποιήστε την προστασία από ransomware σε όλα τα τερματικά σημεία. Υπάρχει το δωρεάν εργαλείο Kaspersky AntiRansomware Tool for Business, που προστατεύει τους υπολογιστές και τους servers από ransomware και άλλους τύπους κακόβουλου λογισμικού. Παράλληλα, αποτρέπει τα exploits, καθώς είναι συμβατό με τις ήδη εγκατεστημένες λύσεις ασφαλείας.

  • Εγκαταστήστε λύσεις anti-APT και EDR, οι οποίες παρέχουν δυνατότητες για προχωρημένη ανίχνευση απειλών, διερεύνηση και έγκαιρη αντιμετώπιση περιστατικών.

  • Παρέχετε στην ομάδα σας SOC πρόσβαση στις πιο πρόσφατες πληροφορίες σχετικά με το Threat Intelligence (TΙ). Το Kaspersky Threat Intelligence Portal είναι ένα ενιαίο σημείο πρόσβασης στο TI της Kaspersky, το οποίο παρέχει δεδομένα και γνώσεις σχετικά με κυβερνοεπιθέσεις που έχουν συλλεχθεί από την ομάδα της τα τελευταία 20 χρόνια. Για να βοηθήσει τις επιχειρήσεις να παρέχουν αποτελεσματική άμυνα σε αυτούς τους ταραγμένους καιρούς, η Kaspersky ανακοίνωσε ότι παρέχει δωρεάν πρόσβαση σε αυτόνομες, ενημερωμένες πληροφορίες από όλον τον κόσμο σχετικά με τις τρέχουσες κυβερνοεπιθέσεις και απειλές. Ζητήστε πρόσβαση σε αυτήν την προσφορά εδώ.

iGuRu.gr The Best Technology Site in Greecefgns

κάθε δημοσίευση, άμεσα στο inbox σας

Προστεθείτε στους 2.092 εγγεγραμμένους.

emotetLokibot

emotet,Lokibot

Written by newsbot

Αν και τα δελτία τύπου θα είναι από πολύ επιλεγμένα έως και σπάνια, είπα να περάσω ... γιατί καμιά φορά κρύβονται οι συντάκτες.

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *

Το μήνυμα σας δεν θα δημοσιευτεί εάν:
1. Περιέχει υβριστικά, συκοφαντικά, ρατσιστικά, προσβλητικά ή ανάρμοστα σχόλια.
2. Προκαλεί βλάβη σε ανηλίκους.
3. Παρενοχλεί την ιδιωτική ζωή και τα ατομικά και κοινωνικά δικαιώματα άλλων χρηστών.
4. Διαφημίζει προϊόντα ή υπηρεσίες ή διαδικτυακούς τόπους .
5. Περιέχει προσωπικές πληροφορίες (διεύθυνση, τηλέφωνο κλπ).