DarkGate-Malware-Stamm
Im Juni 2023 entdeckten die Forscher von Kaspersky einen neuen Loader namens DarkGate, der über mehrere Funktionen verfügt, die über die typische Downloader-Funktionalität hinausgehen. Zu den bemerkenswerten Funktionen gehören verstecktes VNC, Windows Defender Ausschluss, Diebstahl des Browserverlaufs, Reverse-Proxy, Dateiverwaltung und Diebstahl von Discord-Token.
Der Betrieb von DarkGate umfasst eine Kette von vier Phasen, die zum Laden der Malware selbst führen sollen. Dieser Loader verfügt über eine einzigartige Möglichkeit, Zeichenfolgen mit personalisierten Schlüsseln und einer benutzerdefinierten Version der Base64-Kodierung zu verschlüsseln, die einen speziellen Zeichensatz verwendet.
Emotet-Malware-Stamm
Emotet ist ein Botnetz, das nach seiner Abschaltung im Jahr 2021 wieder aufgetaucht ist. Der Bericht erwähnt auch, dass die Aktivität dieser Malware kürzlich aufgezeichnet wurde.
In dieser neuesten Kampagne öffnen Benutzer unabsichtlich die Schadsoftware Eine Note Dateien lösen die Ausführung einer versteckten und getarnten Aktion aus VBScript. Das Skript versucht dann, die schädliche Nutzlast von verschiedenen Websites herunterzuladen, bis es erfolgreich in das System eindringt.
Einmal drin, platziert Emotet eine DLL im temporären Verzeichnis und führt sie dann aus. Diese DLL enthält versteckte Anweisungen oder Shellcode sowie verschlüsselte Importfunktionen. Durch die Entschlüsselung einer bestimmten Datei aus ihrem Ressourcenbereich gewinnt Emotet die Oberhand und führt letztendlich seine bösartige Nutzlast aus.
LokiBot-Malware-Stamm
Kaspersky hat außerdem eine Phishing-Kampagne entdeckt, die sich gegen Frachtschifffahrtsunternehmen richtete, die LokiBot geliefert hatten. Es handelt sich um eine Info-Stealer-Malware, die erstmals im Jahr 2016 identifiziert wurde. LokiBot ist darauf ausgelegt, Anmeldeinformationen von verschiedenen Apps zu stehlen, darunter Browser und FTP-Clients.
Diese E-Mails enthielten einen Excel-Dokumentanhang, der Benutzer dazu aufforderte, Makros zu aktivieren. Die Angreifer nutzten eine bekannte Sicherheitslücke (CVE-2017-0199) aus Microsoft Office, was zum Herunterladen eines RTF-Dokuments führt. Dieses RTF-Dokument nutzte anschließend eine weitere Schwachstelle (CVE-2017-11882), um die LokiBot-Malware einzuschleusen und auszuführen.