Analyse von Kaspersky

Wie Emotet, Darkgate und Lokibot neue Wege zu ihren Opfern finden

Uhr
von Coen Kaat und tme

Kaspersky hat die Angriffsmethoden von Emotet, Lokibot und Darkgate untersucht. Emotet probiert etwas neues, Lokibot nimmt neue Ziele ins Visier und Darkgate selbst ist noch ganz neu.

(Source: valerybrozhinsky / stock.adobe.com)
(Source: valerybrozhinsky / stock.adobe.com)

Der russische Sicherheitsanbieter Kaspersky hat in einer aktuellen Analyse neue Infektionswege von zwei altbekannten und einer relativ jungen Malware untersucht. Die Experten warfen einen Blick auf aktuelle Kampagnen von Emotet und Lokibot sowie auf den neuen Schädling Darkgate. 

Emotet weicht auf Onenote aus

Emotet ist bereits ein alter Hase in der Bedrohungslandschaft - das Schadprogramm tauchte erstmals in 2014 auf. Seitdem entwickelte sich der Schädling stets weiter. Bei aktuellen Kampagnen versucht Emotet über die Onenote-Dateien in Unternehmensnetzwerke einzudringen. 

Öffnet man die vermeintliche Notiz-Datei, führt diese versteckte VBS-Scripts aus, wie Kaspersky schreibt. Das Skript versuche anschliessend so lange schädliche Payloads von verschiedenen Websites herunterzuladen, bis das System erfolgreich infiziert wurde. Um die volle Kontrolle zu übernehmen, pflanze Emotet zusätzlich eine DLL-Datei im temporären Verzeichnis ein.

Für Emotet ist diese Angriffsmethode neu; andere Schädlinge setzen jedoch schon länger auf Onenote. So betrachtete etwa McAfee bereits im März dieses Problem in einer grösseren Analyse. Der Sicherheitsanbieter führt dies darauf zurück, dass Microsoft Anfang 2022 ankündigte, die Aktivierung von Makros in Dokumenten aus dem Internet zu erschweren (lesen Sie hier mehr dazu). Seitdem setzen Schadprogramme auf LNK-Verknüpfungen oder eben Onenote-Dateien. McAfee listete im März die folgenden Schadprogramme auf, die bereits versuchen, über Onenote Rechner zu infizieren:

  • Iceid 
  • Qakbot
  • RedLine
  • AsyncRat
  • Remcos
  • AgentTesla
  • QuasarRAT
  • XWORM
  • Netwire
  • Formbook
  • Doubleback 

Lokibot macht Jagd auf Frachtschiffunternehmen

Andere Schadprogramme setzen trotzdem weiter auf Makros. So beobachtet Kaspersky etwa, wie Lokibot derzeit versucht, mit Excel-Dateien Frachtschiffunternehmen zu kapern. Öffnet man die Excel-Datei im Anhang der Phishing-Mails, wird man aufgefordert, Makros zu aktivieren. Das Ziel: Anmeldeinformationen von verschiedenen Anwendungen, einschliesslich Browsern und FTP-Clients, zu stehlen.

Hierfür verwendet Lokibot gleich zwei bekannte Sicherheitslücken: CVE-2017-0199 und CVE-2017-11882. Für beide stehen bereits seit 2017 Patches von Microsoft bereit!

Darkgate setzt auf personalisierte Schlüssel

Der dritte Schädling in der Analyse von Kaspersky heisst Darkgate. Dabei handelt es sich um einen im Juni 2023 entdeckten Loader mit einer Vielzahl von Funktionen. Dazu zählen laut Mitteilung unter anderem:  

  • ein verstecktes Virtual Network Computing (VNC), 
  • die Deaktivierung von Windows Defender, 
  • das Stehlen des Browserverlaufs, 
  • Reverse Proxy,
  • unerlaubte Dateiverwaltung 
  • und das Abgreifen von Discord-Tokens.

Der Loader unterscheide sich von anderen seiner Art durch seine Verschlüsselungsmethode. So nutze Darkgate Zeichenketten mit personalisierten Schlüsseln und einer angepassten Version der Base64-Kodierung mit einem speziellen Zeichensatz. 

Um nicht zum Opfer dieser Schädlinge zu werden, empfiehlt Kaspersky, Schutzsoftware stets auf dem aktuellen Stand zu halten, die Verteidigungsstrategie auf die Erkennung von lateralen Bewegungen und Datenlecks im Internet konzentrieren (und dabei besonders auf den ausgehenden Datenverkehr zu achten) und nicht manipulierbare Offline-Backups einzurichten, auf die man im Notfall schnell zugreifen kann.

Webcode
tuHmbY26