Emotet torna e LokiBot resiste: Kaspersky individua nuovi metodi di attacco

(Adnkronos) – Milano, 3 agosto 2023. Il nuovo report di Kaspersky svela le complesse tecniche di infezione dei gruppi di malware DarkGate, Emotet e LokiBot. Nonostante l'esclusiva crittografia di DarkGate e il massiccio ritorno di Emotet, gli exploit di LokiBot persistono, dimostrando che il panorama della cybersicurezza è in continua evoluzione.
 A giugno 2023, i ricercatori di Kaspersky hanno scoperto DarkGate, un nuovo loader che vanta numerose funzionalità superiori rispetto a quelle tipiche dei downloader tra cui VNC nascosto, esclusione di Windows Defender, furto della cronologia del browser, reverse proxy, gestione dei file e furto di token Discord. Il funzionamento di DarkGate prevede un procedimento a quattro fasi, progettato in modo complesso per permetterne il caricamento. Ciò che distingue questo loader è il suo modo unico di crittografare le stringhe con chiavi personalizzate e una versione di codifica Base64 su misura, che utilizza un set di caratteri speciali.  Inoltre, la ricerca di Kaspersky ha analizzato l’attività di Emotet, una nota botnet che è riapparsa dopo essere stata eliminata nel 2021. In quest’ultima campagna, gli utenti che aprono inconsapevolmente i file OneNote dannosi attivano l’esecuzione di un VBScript nascosto. Lo script tenta quindi di scaricare il payload dannoso da vari siti web fino a infiltrarsi con successo nel sistema. Una volta all’interno, Emotet installa nella directory temporanea ed esegue una DLL che contiene istruzioni nascoste, o shellcode, e funzioni di importazione crittografate. Decriptando con abilità un file specifico dalla sua sezione di risorse, Emotet prende il controllo, eseguendo il suo payload dannoso.  Infine, Kaspersky ha individuato una campagna di phishing rivolta alle società di trasporti navali che ha lanciato LokiBot. Si tratta di un infostealer identificato per la prima volta nel 2016 e progettato per rubare le credenziali da varie applicazioni, tra cui browser e client FTP. Queste e-mail contenevano in allegato un documento Excel che invitava gli utenti ad abilitare le macro. Gli aggressori hanno sfruttato una vulnerabilità nota (CVE-2017-0199) in Microsoft Office, portando al download di un documento RTF, che ha poi sfruttato un’altra vulnerabilità (CVE_2017-11882) per fornire ed eseguire il malware LokiBot.  “La ricomparsa di Emotet, la continua presenza di LokiBot e la comparsa di DarkGate ci ricordano la continua evoluzione delle minacce informatiche che dobbiamo affrontare. Poiché questi gruppi di malware si evolvono e adottano nuovi metodi di infezione, è fondamentale che utenti e aziende prestino attenzione e investano in efficaci soluzioni di sicurezza informatica. La continua ricerca e il rilevamento di DarkGate, Emotet e LokiBot da parte di Kaspersky sottolineano l’importanza di adottare misure proattive per proteggersi dai pericoli informatici in continua evoluzione”, ha commentato Jornt van der Wiel, Senior Security Researcher, Kaspersky’s Global Research and Analysis Team.  Per ulteriori informazioni sui nuovi metodi di infezione è possibile consultare Securelist.  Per proteggersi da attacchi ransomware Kaspersky consiglia di:  •Aggiornare regolarmente i software su tutti i dispositivi utilizzati per evitare che gli aggressori sfruttino le vulnerabilità e si infiltrino nella rete.  •Concentrare la strategia di difesa sul rilevamento dei movimenti laterali e delle fughe di dati verso Internet. Prestare particolare attenzione al traffico in uscita per individuare le connessioni dei criminali informatici alla rete. Impostare un backup offline, che gli intrusi non possono manomettere, a cui sia possibile accedere rapidamente in caso di necessità o di emergenza.  •Attivare la protezione ransomware su tutti gli endpoint. Kaspersky Anti-Ransomware Tool for Business è gratuito e protegge computer e server da ransomware e altri tipi di malware, previene gli exploit ed è compatibile con le soluzioni di sicurezza già installate.  •Installare soluzioni anti-APT ed EDR, che consentano di individuare e rilevare le minacce in modo avanzato, indagare e risolvere tempestivamente gli incidenti. Fornire al team SOC l’accesso alle informazioni più recenti sulle minacce e aggiornarlo regolarmente con sessioni di formazione professionale. Tutto questo è disponibile all’interno del framework Kaspersky Expert Security.  •Fornire al team SOC l’accesso alle informazioni più recenti sulle minacce (TI). Kaspersky Threat Intelligence Portal è un unico punto di accesso alle informazioni sulle minacce di Kaspersky, che fornisce dati sui cyberattacchi e approfondimenti raccolti dal nostro team negli ultimi 20 anni. Per aiutare le aziende a difendersi efficacemente in questi tempi difficili, Kaspersky ha annunciato di voler fornire gratuitamente l’accesso a informazioni indipendenti, continuamente aggiornate e di provenienza globale sugli attuali attacchi informatici e sulle minacce. Per richiedere l’accesso a questa offerta, è possibile consultare il sito web di Kaspersky.  
Informazioni su Kaspersky
 Kaspersky è un’azienda globale di sicurezza informatica e digital privacy fondata nel 1997. Le profonde competenze in materia di Threat Intelligence e sicurezza si trasformano costantemente in soluzioni e servizi innovativi per proteggere aziende, infrastrutture critiche, governi e utenti in tutto il mondo. Il portfolio completo di sicurezza dell’azienda comprende una protezione leader degli endpoint e diverse soluzioni e servizi di sicurezza specializzati e soluzioni Cyber Immune, per combattere le sofisticate minacce digitali in continua evoluzione. Oltre 400 milioni di utenti sono protetti dalle tecnologie Kaspersky e aiutiamo 220.000 aziende a tenere al sicuro ciò che più conta per loro. Per ulteriori informazioni è possibile consultare https://www.kaspersky.it/
 
Seguici su:
 

 
http://www.facebook.com/kasperskylabitalia
 
https://www.linkedin.com/company/kaspersky-lab-italia
 
https://www.instagram.com/kasperskylabitalia/
 
https://t.me/KasperskyItalia
 
Contatto di redazione:
 Noesis 
kaspersky@noesis.net
 —immediapress/ictwebinfo@adnkronos.com (Web Info)

Da non perdere
Recensioni
Valutazione di ECCELLENTE
In base a 24 recensioni
Ottima esperienza, Paolo ed Emiliano molto professionali e precisi!
alessandro pasqual
alessandro pasqual
2024-03-26
La conduzione ed i contenuti sono ottimi! Complimenti continuerò a seguirvi!
Angelica Bianco
Angelica Bianco
2024-03-22
Bellissima intervista e giornalisti top
Cristina Orsatti wedding planner
Cristina Orsatti wedding planner
2024-03-22
Casa Radio è una vera innovazione nel settore immobiliare, che permette di ascoltare molteplici temi, legati all’Abitare! Complimenti a tutto il team!
Federico Pagliuca
Federico Pagliuca
2024-03-13
Piacevolissima chiacchierata e notevoli gli spunti ricevuti per una piacevole ed interessante conversazione.
Fernando Caprino
Fernando Caprino
2024-02-21
Professionalità e passione garantita con persone che sanno metterti a tuo agio nel raccontarti e nell’offrire la tua esperienza e riflessioni al loro pubblico. Grazie.
Roberto “Roby'ncool” Vitali
Roberto “Roby'ncool” Vitali
2024-02-19
Ho trovato l’esperienza molto soddisfacente. Grande professionalità ma allo stesso tempo accoglienza.
Cristian Catania
Cristian Catania
2024-02-19
Esperienza interessante ed emozionante, conduttori simpaticissimi e di notevole supporto che mi hanno saputo mettere a mio agio fin da subito.
Stefano Sanciu
Stefano Sanciu
2024-02-19

Collabora con noi

Promuovi il tuo business con noi!

Siamo proiettati al 100% verso il nostro pubblico che, ci segue e si fida per la nostra straordinaria capacitĂ  di scegliere i migliori partners sul mercato.

  • Seleziona categoria

  • Seleziona l'autore