Emotet regressa, Lokibot persiste – Kaspersky alerta para novos métodos de infeção

Emotet regressa, Lokibot persiste – Kaspersky alerta para novos métodos de infeção

Novo relatório da Kaspersky revela as intrincadas táticas de infeção das estirpes de malware DarkGate, Emotet e LokiBot. Entre a encriptação única do DarkGate e o regresso robusto do Emotet, as explorações do LokiBot persistem, ilustrando um cenário de cibersegurança em constante evolução.

Em junho de 2023, os investigadores da Kaspersky descobriram um novo loader chamado DarkGate que possui uma série de características que vão para além da funcionalidade típica de um descarregador de malware. Algumas das capacidades notáveis incluem VNC oculto, exclusão do Windows Defender, roubo do histórico do navegador, proxy reverso, gestão de ficheiros e roubo de tokens Discord. O funcionamento do DarkGate envolve uma cadeia de quatro etapas, intrinsecamente concebidas para levar ao carregamento do próprio DarkGate. O que distingue este loader é a sua forma única de encriptar strings com chaves personalizadas e uma versão personalizada da codificação Base64, utilizando um conjunto de caracteres especiais.

Além disso, a investigação da Kaspersky examina uma atividade do Emotet, um botnet notório que ressurgiu após ter sido derrubado em 2021. Nesta última campanha, os utilizadores que abrem inadvertidamente os ficheiros maliciosos do OneNote desencadeiam a execução de um VBScript oculto e disfarçado. O script tenta então descarregar o payload nocivo de vários sites até se infiltrar com sucesso no sistema. Uma vez dentro do sistema, o Emotet coloca uma DLL no diretório temporário e depois executa-a. Esta DLL contém instruções ocultas, ou seja, instruções que podem ser usadas para criar um ficheiro malicioso, juntamente com funções de importação encriptadas. Ao desencriptar habilmente um ficheiro específico da sua secção de recursos, o Emotet ganha vantagem, acabando por executar o seu payload malicioso.

Por fim, a Kaspersky detetou uma campanha de phishing dirigida a empresas de transporte de carga que distribuía o LokiBot. Trata-se de um infostealer identificado pela primeira vez em 2016 e concebido para roubar credenciais de várias aplicações, incluindo navegadores e clientes FTP. Estes e-mails continham um anexo de um documento Excel que pedia aos utilizadores para ativarem macros. Os atacantes exploraram uma vulnerabilidade conhecida (CVE-2017-0199) no Microsoft Office, levando ao descarregamento de um documento RTF. Este documento RTF aproveitou posteriormente outra vulnerabilidade (CVE-2017-11882) para entregar e executar o malware LokiBot.

"O ressurgimento do Emotet e a presença contínua do Lokibot, bem como o aparecimento do DarkGate, são uma forte lembrança da constante evolução das ciberameaças que enfrentamos. À medida que estas estirpes de malware se adaptam e adotam novos métodos de infeção, é crucial que os indivíduos e as empresas se mantenham vigilantes e invistam em soluções robustas de cibersegurança. A investigação contínua da Kaspersky e a deteção do DarkGate, Emotet e Lokibot sublinham a importância de medidas proactivas de proteção contra os perigos cibernéticos em evolução", refere Jornt van der Wiel, investigador de segurança sénior da Equipa de Análise e Investigação Global da Kaspersky.

Saiba mais sobre os novos métodos de infeção na Securelist.

Para se proteger a si e à sua empresa contra ataques de ransomware, considere seguir as regras propostas pela Kaspersky:

· Mantenha sempre o software atualizado em todos os dispositivos que utiliza para evitar que os atacantes explorem vulnerabilidades e se infiltrem na sua rede.

· Concentre a sua estratégia de defesa na deteção de movimentos laterais e fugas de dados para a Internet. Preste especial atenção ao tráfego de saída para detetar as ligações dos cibercriminosos à sua rede. Configure cópias de segurança offline que os intrusos não possam adulterar. Certifique-se de que pode aceder-lhes rapidamente quando necessário ou em caso de emergência.

· Ative a proteção contra ransomware em todos os endpoints. Existe a ferramenta gratuita Kaspersky Anti-Ransomware Tool for Business que protege os computadores e servidores contra ransomware e outros tipos de malware, impede explorações e é compatível com soluções de segurança já instaladas.

· Instale soluções anti-APT e EDR, permitindo capacidades de descoberta e deteção avançadas de ameaças, investigação e correção atempada de incidentes. Forneça à sua equipa SOC acesso à mais recente inteligência de ameaças e atualizá-la regularmente com formação profissional. Todos os itens acima estão disponíveis na estrutura do Kaspersky Expert Security.

· Forneça à sua equipa SOC acesso à mais recente inteligência contra ameaças (TI). O Portal de Inteligência de Ameaças Kaspersky é um ponto único de acesso à TI Kaspersky, fornecendo dados de ciberataques e conhecimentos recolhidos pela nossa equipa nos últimos 20 anos.

Para ajudar as empresas a obter defesas eficazes nestes tempos turbulentos, a Kaspersky anunciou que está a fornecer acesso gratuito a informações independentes, continuamente atualizadas e de origem global sobre ciberataques e ameaças atuais. Sabia mais aqui.