卡巴斯基揭露了多种类型的恶意软件DarkGate,Emotets和LokiBot的复杂感染策略

雅加达 - 卡巴斯基的最新报告揭示了DarkGate、Emotet和LokiBot恶意软件类型的复杂感染策略。在DarkGate独特加密和EmoTet强大的回归中,LokiBot的剥削仍然存在,描绘了日益增长的网络安全景观。

2023年6月,卡巴斯基研究人员设法找到了一个名为DarkGate的新载荷器,该载荷器提供了一系列超出通常的下载功能的功能,例如隐藏的VNC,Windows Defender豁免,浏览器历史记录盗用,反向代理,文件管理和Discord令牌盗用。

这种装载器与其他装载器的区别是使用一系列特殊的字符使用个性化键和Base64编码的自定义版本加密的独特方法。

此外,卡巴斯基的研究还发现了Emotet活动,这是一种知名的机器人活动,在2021年被删除后再次出现。在此最新活动中,不知情地打开恶意OneNote文件的用户会触发隐藏和伪装的VBScript执行。

脚本随后试图从不同网站下载恶意内容,直到它成功渗透到系统。一旦插入,Emotet将DLL植入临时目录,然后运行。

此 DLL 包含隐藏的指示或壳牌代码,以及加密的进口功能。通过从其源部分加密特定文件的技能,Emotet占据优势,最终执行其危险的负载。

最后,卡巴斯基还成功地检测到了一项网络钓鱼活动,该活动针对运送LokiBot的货船公司。该活动旨在从包括浏览器和FTP客户在内的各种应用程序中窃取凭据。

根据这家网络安全公司的说法,此电子邮件携带Excel文档附件,以鼓励用户激活宏观。攻击者在Microsoft Office中利用已知漏洞(CVE-2017-0199),导致RTF文档下载。然后,此RTF文档利用其他漏洞(CVE-2017-11882)来发送和执行LokiBot恶意软件。