Κυβερνοασφάλεια: Το Emotet επιστρέφει, το Lokibot επιμένει

Η νέα έκθεση της Kaspersky αποκαλύπτει τους πολλαπλούς τρόπους μόλυνσης από κακόβουλο λογισμικό τύπου DarkGate, Emotet και LokiBot. Η μοναδική κρυπτογράφηση του DarkGate, η δυναμική επανεμφάνιση του Emotet και τα exploits του LokiBot καταδεικνύουν το συνεχώς εξελισσόμενο τοπίο της κυβερνοασφάλειας.

Τον Ιούνιο του 2023, οι ερευνητές της Kaspersky ανακάλυψαν ένα νέο πρόγραμμα loader με την ονομασία DarkGate, το οποίο διαθέτει μια σειρά από χαρακτηριστικά που ξεπερνούν τις τυπικές λειτουργίες των downloader. Ορισμένες από τις αξιοσημείωτες λειτουργίες του περιλαμβάνουν κρυφό VNC, παράκαμψη του Windows Defender, υποκλοπή του ιστορικού των προγραμμάτων περιήγησης, αντίστροφο proxy, πρόσβαση σε αρχεία αλλά και κλοπή token από το Discord. Η λειτουργία του DarkGate περιλαμβάνει μια διαδικασία που αποτελείται από τέσσερα ειδικά διαμορφωμένα μέρη, το οποία εξυπηρετούν την εκτέλεση του προγράμματος DarkGate. Tο συγκεκριμένο πρόγραμμα αποτελεί μοναδικό τρόπο κρυπτογράφησης με τη χρήση εξατομικευμένων κλειδιών, ενώ παράλληλα χρησιμοποιεί μια προσαρμοσμένη έκδοση της κωδικοποίησης Base64 που βασίζεται σε ένα ειδικό σύνολο χαρακτήρων.

Στο φως κακόβουλο λογισμικό για στοχευμένη εξαγωγή δεδομένων

Επιπλέον, η έρευνα της Kaspersky αναλύει μια από τις λειτουργίες του Emotet, ενός διαβόητου botnet που επανεμφανίστηκε υστέρα από την αντιμετώπισή του το 2021. Στην τωρινή έκδοση του Emotet, όταν οι χρήστες ανοίγουν κάποιο μολυσμένο αρχείο OneNote, τότε άθελά τους ενεργοποιούν το κεκαλυμμένο VBScript. Στη συνέχεια, το VBScript προσπαθεί να κατεβάσει επιβλαβές υλικό από διάφορους ισότοπους με σκοπό να επιτύχει την πλήρη πρόσβαση στο σύστημα. Αφού επιτύχει τον σκοπό του, το Emotet εγκαθιστά ένα DLL στον προσωρινό κατάλογο και στη συνέχεια το εκτελεί. Αυτό το DLL περιέχει κρυφές οδηγίες ή κάποιο shellcode μαζί με κρυπτογραφημένες λειτουργίες εισαγωγής. Αποκρυπτογραφώντας ένα συγκεκριμένο αρχείο, το Emotet αποκτά τον έλεγχο του συστήματος, επιτυγχάνοντας να θέσει σε λειτουργία το κακόβουλο λογισμικό.

Τέλος, η Kaspersky εντόπισε μια phishing εκστρατεία που στόχευε εταιρείες φορτηγών πλοίων μέσω του LokiBot. Πρόκειται για ένα infostealer που εντοπίστηκε για πρώτη φορά το 2016 και έχει σχεδιαστεί για να υποκλέπτει δεδομένα από διάφορες εφαρμογές, όπως για παράδειγμα κάποιο πρόγραμμα περιήγησης και FTP clients. Αυτά τα emails έφεραν ένα συνημμένο έγγραφο Excel, το οποίο προέτρεπε τους χρήστες να ενεργοποιήσουν μακροεντολές στο Excel. Οι επιτιθέμενοι εκμεταλλεύτηκαν μια γνωστή ευπάθεια (CVE-2017-0199) στο Microsoft Office, η οποία οδηγεί στη λήψη ενός εγγράφου RTF. Έπειτα, αυτό το έγγραφο RTF εκμεταλλεύεται μια ακόμα ευπάθεια (CVE-2017-11882) που οδηγεί στην εκτέλεση του malware, LokiBot.

«Η επανεμφάνιση του Emotet, η συνεχής παρουσία του Lokibot, καθώς και η εμφάνιση του DarkGate αποτελούν υπενθύμιση για τις εξελισσόμενες απειλές στον κυβερνοχώρο. Αυτοί οι τύποι κακόβουλου λογισμικού προσαρμόζονται και μπορούν να υιοθετήσουν νέες μεθόδους. Συνεπώς, είναι ζωτικής σημασίας για τους ιδιώτες και τις επιχειρήσεις να παραμείνουν σε επαγρύπνηση, επενδύοντας σε ισχυρές λύσεις κυβερνοασφάλειας. Η διαρκής έρευνα της Κaspersky και ο εντοπισμός των DarkGate, Emotet και Lokibot υπογραμμίζουν τη σημασία των προληπτικών μέτρων για την προστασία από τους εξελισσόμενους κινδύνους στον κυβερνοχώρο», σχολιάζει ο Jornt van der Wiel, ανώτερος ερευνητής ασφάλειας στην Παγκόσμια Ομάδα Έρευνας και Ανάλυσης της Kaspersky.

Μάθετε περισσότερα για τις νέες μεθόδους μόλυνσης στο Securelist.

Για να προστατεύσετε τον εαυτό σας και την επιχείρησή σας από επιθέσεις ransomware, η Kaspersky προτείνει τα παρακάτω:

•  Διατηρείτε πάντα ενημερωμένο το λογισμικό σε όλες τις συσκευές που χρησιμοποιείτε, ώστε να αποτρέψετε τους επιτιθέμενους από το να εκμεταλλευτούν τα τρωτά σημεία και να διεισδύσουν στο δίκτυό σας.
•  Επικεντρώστε την αμυντική σας στρατηγική στον εντοπισμό τυχόν υπόπτων κινήσεων και διαρροών δεδομένων στο διαδίκτυο. Δώστε ιδιαίτερη προσοχή στην εξερχόμενη κυκλοφορία για να εντοπίζετε τις συνδέσεις των κακόβουλων χρηστών στο δίκτυό σας. Δημιουργήστε αντίγραφα ασφαλείας εκτός σύνδεσης, τα οποία δεν μπορούν να παραβιάσουν οι εισβολείς. Βεβαιωθείτε ότι μπορείτε να έχετε γρήγορη πρόσβαση σε αυτά όταν χρειάζεται ή σε περίπτωση έκτακτης ανάγκης.
•  Ενεργοποιήστε την προστασία από ransomware σε όλα τα τερματικά σημεία. Υπάρχει το δωρεάν εργαλείο Kaspersky Anti-Ransomware Tool for Business, που προστατεύει τους υπολογιστές και τους servers από ransomware και άλλους τύπους κακόβουλου λογισμικού. Παράλληλα, αποτρέπει τα exploits, καθώς είναι συμβατό με τις ήδη εγκατεστημένες λύσεις ασφαλείας.
•  Εγκαταστήστε λύσεις anti-APT και EDR, οι οποίες παρέχουν δυνατότητες για προχωρημένη ανίχνευση απειλών, διερεύνηση και έγκαιρη αντιμετώπιση περιστατικών. Θα δώσετε τη δυνατότητα στην SOC ομάδα σας να έχει πρόσβαση στις πιο πρόσφατες πληροφορίες σχετικά με το Threat Intelligence (TΙ) αλλά και να αποκτήσει την απαιτούμενη κατάρτιση μέσω εξειδικευμένων σεμιναρίων. Όλα τα παραπάνω είναι διαθέσιμα στο πλαίσιο Kaspersky Expert Security framework.
•  Παρέχετε στην ομάδα σας SOC πρόσβαση στις πιο πρόσφατες πληροφορίες σχετικά με το Threat Intelligence (TΙ). Το Kaspersky Threat Intelligence Portal είναι ένα ενιαίο σημείο πρόσβασης στο TI της Kaspersky, το οποίο παρέχει δεδομένα και γνώσεις σχετικά με κυβερνοεπιθέσεις που έχουν συλλεχθεί από την ομάδα της τα τελευταία 20 χρόνια. Για να βοηθήσει τις επιχειρήσεις να παρέχουν αποτελεσματική άμυνα σε αυτούς τους ταραγμένους καιρούς, η Kaspersky ανακοίνωσε ότι παρέχει δωρεάν πρόσβαση σε αυτόνομες, ενημερωμένες πληροφορίες από όλον τον κόσμο σχετικά με τις τρέχουσες κυβερνοεπιθέσεις και απειλές. Ζητήστε πρόσβαση σε αυτήν την προσφορά εδώ.