Emotet вернулся, Lokibot по-прежнему активен — «Лаборатория Касперского» рассказывает об актуальных киберугрозах

Новый загрузчик

В июне 2023 года исследователи «Лаборатории Касперского» обнаружили новый загрузчик. Ему было присвоено название DarkGate. Он обладает расширенными функциями по сравнению с обычными вредоносными программами такого типа. В числе возможностей DarkGate — скрытое VNC-подключение, обход работы средства защиты Microsoft Defender, умение красть историю браузера, обратный прокси, файловый менеджер, умение красть токены Discord. Цепочка заражения состоит из четырёх этапов. Каждая строка шифруется с уникальным ключом и модифицированной версией кодировки Base64 (с собственным набором символов).

Возвращение Emotet

В этом году вновь была замечена активность печально известного ботнета — впервые после его ликвидации в 2021 году. В новой волне атак злоумышленники использовали популярный вектор заражения — рассылали письма с вредоносными файлами OneNote. Если жертва открывает и пытается посмотреть вложение, она запускает выполнение вредоносного скрипта VBScript.

Новая кампания с использованием известного стилера

Также «Лаборатория Касперского» обнаружила фишинговую кампанию, нацеленную на организации, занимающиеся морскими перевозками грузов. В ходе кампании злоумышленники внедряли Lokibot. Этот инфостилер был впервые обнаружен в 2016 году. Он предназначен для кражи учётных данных из разных приложений, в том числе браузеров и FTP-клиентов. Электронные письма, рассылаемые в рамках данной атаки, содержали Excel-файл, в котором пользователям предлагалось включить макросы. Злоумышленники использовали известную уязвимость в Microsoft Office (CVE-2017-0199), которая ведёт к загрузке RTF-документа. Этот RTF-документ затем использует другую уязвимость (CVE-2017-11882), чтобы загрузить и запустить LokiBot.

«Возрождение Emotet и продолжающееся использование Lokibot, как и появление DarkGate, — это серьёзное напоминание о постоянно развивающихся киберугрозах, с которыми мы сталкиваемся. Злоумышленники всё время усложняют методы заражения, и организациям бывает трудно определить, от каких киберугроз следует защищаться в первую очередь. В этом помогают отчёты о новейших тактиках, методах и процедурах атакующих», — комментирует Дмитрий Галов, руководитель российского исследовательского центра «Лаборатории Касперского».