Thought Leadership
Eine neue Analyse von Kaspersky deckt komplizierte Infektionstaktiken von Malware-Stämmen auf. Demnach meldet sich das berühmte Botnet Emotet mittels neuem Infektionsweg über OneNote-Dateien zurück und greift Unternehmen an; zusätzlich wurde der Loader DarkGate mit zahlreichen neuen Features ausgestattet und LokiBot zielt in Phishing-Mails mit Excel-Anhängen auf Frachtschiffunternehmen ab.
Kasperskys aktueller Bericht zeigt die aktuellen komplizierten Infektionstaktiken der Schadprogramme DarkGate, Emotet und LokiBot auf. Die einzigartige Verschlüsselung von DarkGate und das robuste Comeback von Emotet sowie die anhaltenden Exploits von LokiBot unterstreichen die Notwendigkeit einer sich ständig weiterentwickelnden Cybersicherheitslandschaft.
Emotet nutzt OneNote-Datei zur Ausführung schädlicher Scripts
Nachdem das berüchtigte Botnet Emotet im Jahr 2021 abgeschaltet wurde, verzeichnete Kaspersky nun erneut Aktivitäten. Bei der aktuellen Kampagne lösen Anwender unwissentlich nach dem Öffnen einer schädlichen OneNote-Datei die Ausführung eines versteckten und getarnten VBScripts aus. Das Skript versucht dann so lange, eine schädliche Payload von verschiedenen Websites herunterzuladen, bis das System erfolgreich infiltriert wurde. Danach legt Emotet eine DLL im temporären Verzeichnis ab und sorgt für deren Ausführung. Diese DLL umfasst versteckte Befehle oder Shellcode sowie verschlüsselte Importfunktionen. Indem eine bestimmte Datei aus dem Ressourcenbereich entschlüsselt wird, gewinnt Emotet die Oberhand und führt schließlich seinen schädlichen Payload aus.
DarkGate: mehr als typische Downloader-Funktionen
Im Juni 2023 entdeckten die Experten von Kaspersky den neuen Loader ‚DarkGate‘, der mit einer Vielzahl von Funktionen ausgestattet ist, die über typische Downloader-Funktionen hinausgehen. Dazu zählen unter anderem ein verstecktes Virtual Network Computing (VNC), die Deaktivierung von Windows Defender, das Stehlen des Browserverlaufs, Reverse Proxy, unerlaubte Dateiverwaltung und das Abgreifen von Discord-Tokens. DarkGate funktioniert über eine Vier-Stufen-Kette, die so konzipiert ist, dass sie zum Laden von DarkGate selbst führt. Der Loader unterscheidet sich von anderen in seiner Verschlüsselungsart, die Zeichenketten mit personalisierten Schlüsseln umfasst sowie einer angepassten Version der Base64-Kodierung, die einen speziellen Zeichensatz verwendet.
LokiBot zielt mittels Excel-Anhängen auf Frachtschiffunternehmen ab
Darüber hinaus entdeckte Kaspersky eine Phishing-Kampagne, die mit LokiBot auf Frachtschiffunternehmen abzielt. LokiBot ist ein Infostealer, der erstmals im Jahr 2016 identifiziert wurde und Cyberkriminellen dazu dient, Anmeldeinformationen von verschiedenen Anwendungen, einschließlich Browsern und FTP-Clients, zu stehlen. Bei dieser Kampagne wurden E-Mails mit einem Excel-Anhang verschickt, in dem die Nutzer aufgefordert wurden, Makros zu aktivieren. Dazu nutzten die Angreifer eine bekannte Sicherheitslücke (CVE-2017-0199) in Microsoft Office aus, die zum Download eines RTF-Dokuments führte. Dieses RTF-Dokument verwendet anschließend eine weitere Schwachstelle (CVE-2017-11882), um LokiBot-Malware einzuschleusen und auszuführen.
„Die Rückkehr von Emotet, die anhaltende Präsenz von LokiBot sowie das Auftauchen von DarkGate sind eine Erinnerung daran, dass sich Cyberbedrohungen ständig weiterentwickeln“, kommentiert Jornt van der Wiel, Senior Security Researcher im Global Research & Analysis Team (GReAT) bei Kaspersky. „Angesichts der Tatsache, dass sich diese Schadprogramme anpassen und neue Infektionsmethoden entwickeln, ist es sowohl für Privatpersonen als auch für Unternehmen entscheidend, wachsam zu sein und in robuste Cybersicherheitslösungen zu investieren. Unsere fortlaufenden Untersuchungen und Entdeckung diese Malwarestämme betreffend unterstreichen die Bedeutung proaktiver Sicherheitsmaßnahmen zum Schutz vor stetig fortschreitenden Cybergefahren.“
Kaspersky-Empfehlungen zum Schutz vor Schadsoftware
- Software auf allen Geräten stets auf dem neuesten Stand halten, um zu verhindern, dass Angreifer Schwachstellen ausnutzen und in das Netzwerk eindringen können.
- Die Verteidigungsstrategie auf die Erkennung von lateralen Bewegungen und Datenlecks im Internet konzentrieren. Dabei besonders auf ausgehenden Datenverkehr achten, um die Verbindungen von Cyberkriminellen zu einem Netzwerk zu erkennen.
- Offline-Backups einrichten, die nicht manipuliert werden können. Sicherstellen, dass bei Bedarf oder im Notfall schnell auf diese Daten zugegriffen werden kann.
- Ransomware-Schutz auf allen Endgeräten aktivieren. Das kostenfrei erhältliche Kaspersky Anti-Ransomware Tool for Business, schützt Computer und Server vor Ransomware und anderen Arten von Malware, verhindert Exploits und ist mit bereits installierten Sicherheitslösungen kompatibel.
- Anti-APT- und EDR-Lösungen installieren, die Funktionen für die fortschrittliche Erkennung von Bedrohungen, die Untersuchung und rechtzeitige Behebung von Vorfällen ermöglichen. Dem SOC-Team Zugang zu den neuesten Bedrohungsdaten ermöglichen und regelmäßig durch professionelle Schulungen weiterbilden. All dies ist im Rahmen von Kaspersky Expert Security möglich.
- Dem SOC-Team den Zugriff auf die neuesten Bedrohungsdaten (TI) gewähren, beispielsweise über das Kaspersky Threat Intelligence Portal. Dieses bietet Cyberangriffsdaten und Erkenntnisse aus über 25 Jahren Forschungstätigkeit.
Weitere Informationen zu den Infektionstaktiken von DarkGate, Emotet und LokiBot sind hier verfügbar.
www.kaspersky.de
