Il nuovo report di Kaspersky svela le complesse tecniche di infezione dei gruppi di malware DarkGate, Emotet e LokiBot. Nonostante l’esclusiva crittografia di DarkGate e il massiccio ritorno di Emotet, gli exploit di LokiBot persistono, dimostrando che il panorama della cybersicurezza è in continua evoluzione.
A giugno 2023, i ricercatori di Kaspersky hanno scoperto DarkGate, un nuovo loader che vanta numerose funzionalità superiori rispetto a quelle tipiche dei downloader tra cui VNC nascosto, esclusione di Windows Defender, furto della cronologia del browser, reverse proxy, gestione dei file e furto di token Discord. Il funzionamento di DarkGate prevede un procedimento a quattro fasi, progettato in modo complesso per permetterne il caricamento. Ciò che distingue questo loader è il suo modo unico di crittografare le stringhe con chiavi personalizzate e una versione di codifica Base64 su misura, che utilizza un set di caratteri speciali.
Inoltre, la ricerca di Kaspersky ha analizzato l’attività di Emotet, una nota botnet che è riapparsa dopo essere stata eliminata nel 2021. In quest’ultima campagna, gli utenti che aprono inconsapevolmente i file OneNote dannosi attivano l’esecuzione di un VBScript nascosto. Lo script tenta quindi di scaricare il payload dannoso da vari siti web fino a infiltrarsi con successo nel sistema. Una volta all’interno, Emotet installa nella directory temporanea ed esegue una DLL che contiene istruzioni nascoste, o shellcode, e funzioni di importazione crittografate. Decriptando con abilità un file specifico dalla sua sezione di risorse, Emotet prende il controllo, eseguendo il suo payload dannoso.
Infine, Kaspersky ha individuato una campagna di phishing rivolta alle società di trasporti navali che ha lanciato LokiBot. Si tratta di un infostealer identificato per la prima volta nel 2016 e progettato per rubare le credenziali da varie applicazioni, tra cui browser e client FTP. Queste e-mail contenevano in allegato un documento Excel che invitava gli utenti ad abilitare le macro. Gli aggressori hanno sfruttato una vulnerabilità nota (CVE-2017-0199) in Microsoft Office, portando al download di un documento RTF, che ha poi sfruttato un’altra vulnerabilità (CVE_2017-11882) per fornire ed eseguire il malware LokiBot.
“La ricomparsa di Emotet, la continua presenza di LokiBot e la comparsa di DarkGate ci ricordano la continua evoluzione delle minacce informatiche che dobbiamo affrontare. Poiché questi gruppi di malware si evolvono e adottano nuovi metodi di infezione, è fondamentale che utenti e aziende prestino attenzione e investano in efficaci soluzioni di sicurezza informatica. La continua ricerca e il rilevamento di DarkGate, Emotet e LokiBot da parte di Kaspersky sottolineano l’importanza di adottare misure proattive per proteggersi dai pericoli informatici in continua evoluzione”, ha commentato Jornt van der Wiel, Senior Security Researcher, Kaspersky’s Global Research and Analysis Team.
Per proteggersi da attacchi ransomware come Emotet Kaspersky consiglia di:
- Aggiornare regolarmente i software su tutti i dispositivi utilizzati per evitare che gli aggressori sfruttino le vulnerabilità e si infiltrino nella rete.
- Concentrare la strategia di difesa sul rilevamento dei movimenti laterali e delle fughe di dati verso Internet. Prestare particolare attenzione al traffico in uscita per individuare le connessioni dei criminali informatici alla rete. Impostare un backup offline, che gli intrusi non possono manomettere, a cui sia possibile accedere rapidamente in caso di necessità o di emergenza.
- Attivare la protezione ransomware su tutti gli endpoint. Kaspersky Anti-Ransomware Tool for Business è gratuito e protegge computer e server da ransomware e altri tipi di malware, previene gli exploit ed è compatibile con le soluzioni di sicurezza già installate.
- Installare soluzioni anti-APT ed EDR, che consentano di individuare e rilevare le minacce in modo avanzato, indagare e risolvere tempestivamente gli incidenti. Fornire al team SOC l’accesso alle informazioni più recenti sulle minacce e aggiornarlo regolarmente con sessioni di formazione professionale. Tutto questo è disponibile all’interno del framework Kaspersky Expert Security.
- Fornire al team SOC l’accesso alle informazioni più recenti sulle minacce (TI). Kaspersky Threat Intelligence Portal è un unico punto di accesso alle informazioni sulle minacce di Kaspersky, che fornisce dati sui cyberattacchi e approfondimenti raccolti dal nostro team negli ultimi 20 anni. Per aiutare le aziende a difendersi efficacemente in questi tempi difficili, Kaspersky ha annunciato di voler fornire gratuitamente l’accesso a informazioni indipendenti, continuamente aggiornate e di provenienza globale sugli attuali attacchi informatici e sulle minacce.