カスペルスキーがダークゲート、エモテット、ロキボットマルウェアの種類から複雑な感染戦術を明らかに

ジャカルタ - カスペルスキーの最新レポートは、DarkGate、EmoTet、LokiBotマルウェアの種類の複雑な感染戦術を明らかにしています。DarkGateのユニークな暗号化と強力なEmoTetの復活の中で、LokiBotのエクスプロイトは残っており、サイバーセキュリティの成長を示しています。

2023年6月、カスペルスキーの研究者は、隠されたVNC、Windows Defenderの除外、ブラウザ履歴の盗難、リバースプロキシ、ファイル管理、Discordトークンの盗難など、通常のダウンローダー機能を超える一連の機能を提供するDarkGateと呼ばれる新しいローダーを見つけることができました。

これらのローダーの差別化要因は、カスタムキャラクターのセットを使用して、パーソナライズされたキーとBase64のカスタムコーディングバージョンでストリートを暗号化するユニークな方法です。

さらに、カスペルスキーの調査では、2021年に削除された後、再登場した悪名高いボットネットであるEmotetのアクティビティも発見されました。この最新のキャンペーンでは、無意識のうちに悪意のあるOneNoteファイルを開いたユーザーは、隠され偽装されたVBScat法の実行を引き起こします。

スクリプトはその後、さまざまなWebサイトから悪意のあるペイロードをダウンロードしようとし、システムに正常に侵入しました。着信後、Emotet は一時的なディレクトリに DLL を植え付け、実行します。

このDLLには、暗号化されたインポート機能とともに、隠された指示、またはシェルコードが含まれています。リソースセクションから特定のファイルを復号化するスキルを通じて、EmoTetは優れており、最終的には悪意のあるコンテンツを実行します。

最後に、カスペルスキーは、LokiBotを出荷する貨物船会社を標的としたフィッシングキャンペーンの検出にも成功しました。このキャンペーンは、ブラウザやFTPクライアントを含むさまざまなアプリから資格情報を盗むように設計されています。

サイバーセキュリティ会社によると、このメールには、ユーザーがマクロをアクティブにすることを奨励するExcelドキュメントの添付ファイルが添付されています。攻撃者はMicrosoft Office で既知の脆弱性 (CVE-2017-0199) を悪用し、RTF ドキュメントのダウンロードにつながります。このRTFドキュメントは、別の脆弱性 (CVE-2017-11882) を利用して LokiBot マルウェアを配信して実行します。