Overslaan naar hoofdinhoud

Emotet keert terug, Lokibot houdt stand - Kaspersky meldt nieuwe infectiemethoden

3 augustus 2023

Kaspersky's nieuwe rapport onthult ingewikkelde infectietactieken van malwarestammen DarkGate, Emotet en LokiBot. Te midden van DarkGate's unieke versleuteling en Emotet's robuuste comeback, blijven LokiBot exploits bestaan, wat het zich steeds verder ontwikkelende cybersecuritylandschap illustreert.

In juni 2023 ontdekten onderzoekers van Kaspersky een nieuwe loader met de naam DarkGate die beschikt over een reeks functies die verder gaan dan de typische downloaderfunctionaliteit. Enkele van de opmerkelijke mogelijkheden zijn verborgen VNC, uitsluiting van Windows Defender, het stelen van browsergeschiedenis, reverse proxy, bestandsbeheer en het stelen van Discord-tokens. De werking van DarkGate bestaat uit een keten van vier fasen, ingewikkeld ontworpen om te leiden tot het laden van DarkGate zelf. Wat deze loader onderscheidt, is de unieke manier om strings te versleutelen met persoonlijke sleutels en een aangepaste versie van Base64-codering, waarbij gebruik wordt gemaakt van een speciale tekenset.

Bovendien onderzoekt het onderzoek van Kaspersky een activiteit van Emotet, een beruchte botnet die weer opdook nadat het in 2021 werd uitgeschakeld. In deze nieuwste campagne activeren gebruikers die onbewust de schadelijke OneNote-bestanden openen de uitvoering van een verborgen en vermomde VBScript. Het script probeert vervolgens de schadelijke payload van verschillende websites te downloaden totdat het met succes het systeem infiltreert.Eenmaal binnen plant Emotet een DLL in de tijdelijke map en voert deze uit. Deze DLL bevat verborgen instructies, of shellcode, samen met versleutelde importfuncties. Door vakkundig een specifiek bestand uit de resourcesectie te ontsleutelen, krijgt Emotet de overhand en wordt uiteindelijk de schadelijke payload uitgevoerd.

Tot slot ontdekte Kaspersky een phishingcampagne gericht op vrachtschipbedrijven die LokiBot afleverde. LokiBot is een infostealer die voor het eerst werd geïdentificeerd in 2016 en is ontworpen om gegevens te stelen van verschillende toepassingen, waaronder browsers en FTP-clients. Deze e-mails bevatten een bijlage bij een Excel-document waarin gebruikers werden gevraagd macro's in te schakelen. De aanvallers maakten gebruik van een bekende kwetsbaarheid (CVE-2017-0199) in Microsoft Office, wat leidde tot het downloaden van een RTF-document. Dit RTF-document maakte vervolgens gebruik van een andere kwetsbaarheid (CVE-2017-11882) om de LokiBot-malware af te leveren en uit te voeren.

"De opleving van Emotet, de voortdurende aanwezigheid van Lokibot en de verschijning van DarkGate herinneren ons eraan dat cyberbedreigingen voortdurend in beweging zijn. Aangezien deze malwarestammen zich aanpassen en nieuwe infectiemethoden aannemen, is het cruciaal voor individuen en bedrijven om waakzaam te blijven en te investeren in robuuste cybersecurityoplossingen. Kaspersky's voortdurende onderzoek en detectie van DarkGate, Emotet en Lokibot onderstrepen het belang van proactieve maatregelen ter bescherming tegen evoluerende cybergevaren," zegt Jornt van der Wiel, senior security researcher bij Kaspersky's Global Research and Analysis Team.

Lees meer over nieuwe infectiemethoden op Securelist.

Emotet keert terug, Lokibot houdt stand - Kaspersky meldt nieuwe infectiemethoden

Kaspersky's nieuwe rapport onthult ingewikkelde infectietactieken van malwarestammen DarkGate, Emotet en LokiBot. Te midden van DarkGate's unieke versleuteling en Emotet's robuuste comeback, blijven LokiBot exploits bestaan, wat het zich steeds verder ontwikkelende cybersecuritylandschap illustreert.
Kaspersky logo

Over Kaspersky

Kaspersky is een internationaal bedrijf dat is opgericht in 1997 en dat is gespecialiseerd in cyberbeveiliging en digitale privacy. Dankzij de uitgebreide bedreigingsintelligentie en beveiligingsexpertise van Kaspersky zijn tot nu toe meer dan een miljard apparaten beschermd tegen opkomende cyberbedreigingen en gerichte aanvallen. Kaspersky transformeert voortdurend haar innovatieve oplossingen en diensten om bedrijven, kritieke infrastructuren, overheden en consumenten wereldwijd te beschermen. Onder het allesomvattende beveiligingsportfolio van Kaspersky vallen toonaangevende endpointbescherming, gespecialiseerde beveiligingsproducten en diensten, evenals Cyber Immune-oplossingen waarmee geavanceerde en evoluerende digitale bedreigingen kunnen worden bestreden. We helpen meer dan 200.000 zakelijke klanten te beschermen wat het belangrijkste voor ze is. Meer informatie vind je op www.kaspersky.nl.

Verwant artikel Information