Emotet revient, Lokibot persiste : Kaspersky rapporte les nouvelles méthodes d’infection des groupes malveillants

0
283

Le dernier rapport de Kaspersky dévoile les méthodes d’infection complexes des familles de logiciels malveillants DarkGate, Emotet et LokiBot. En plus des méthodes de chiffrement unique en leur genre de DarkGate et le retour en force d’Emotet, les exploits de LokiBot se poursuivent, illustrant l’évolution constante du paysage des menaces cyber. 

Tribune – En juin 2023, les chercheurs de Kaspersky ont découvert un nouveau loader baptisé DarkGate, doté d’un éventail de fonctionnalités dépassant les capacités habituelles des loaders. Parmi elles, on retrouve un VNC caché, un proxy inverse et des capacités de blocage de Windows Defender, de piratage de l’historique du navigateur infecté, de gestion des fichiers et de vol de jetons Discord. Le fonctionnement de DarkGate implique une chaîne d’infection en quatre étapes, conçues de manière sophistiquée pour aboutir au chargement de DarkGate. Ce chargeur se distingue par sa façon unique de chiffrer les chaînes de caractères avec des clés personnalisées et une version originale de l’encodage Base64, utilisant un jeu de caractères spécial.

Dans le rapport, les experts de Kaspersky se penchent aussi sur l’activité d’Emotet, un botnet notoire qui a récemment refait surface après avoir été démantelé en 2021. Dans cette nouvelle campagne, les victimes sont amenées à ouvrir, involontairement, un fichier OneNote malveillant qui déclenche l’exécution d’un VBScript caché et déguisé. Le script tente ensuite de télécharger la charge utile malveillante à partir de différents sites web jusqu’à ce qu’il réussisse à s’infiltrer dans le système. Une fois à l’intérieur, Emotet place une bibliothèque de liens dynamiques (DLL) dans le répertoire temporaire, puis l’exécute. Cette DLL contient des instructions cachées (shellcode), ainsi que des fonctions d’importation chiffrées. En déchiffrant habilement un fichier spécifique à partir de sa section de ressources, Emotet prend le dessus sur le système et parvient à exécuter sa charge utile malveillante. 

Kaspersky a également identifié une campagne d’hameçonnage ciblant des compagnies de cargos en distribuant le malware LokiBot. LokiBot est un infostealer identifié pour la première fois en 2016 et conçu pour dérober des identifiants à partir de diverses applications, notamment via des navigateurs et des clients FTP. Les mails de hameçonnage utilisés dans la campagne contenaient un document Excel en pièce jointe invitant les utilisateurs à autoriser les macros. Les attaquants ont exploité une vulnérabilité connue (CVE-2017-0199) de Microsoft Office, conduisant au téléchargement d’un document RTF. Ce document RTF exploite ensuite une autre vulnérabilité (CVE-2017-11882) pour distribuer et exécuter le logiciel malveillant LokiBot. 

 « La grand retour d’Emotet, la persistance de Lokibot, et l’émergence de DarkGate nous mettent face au fait accompli de l’évolution continue des cybermenaces auxquelles nous sommes confrontés. Comme ces souches de logiciels malveillants s’adaptent continuellement et adoptent de nouvelles méthodes d’infection, il est crucial pour les particuliers comme pour les entreprises de rester vigilants et d’investir dans des solutions de cybersécurité robustes. Le travail de recherche continu de Kaspersky qui a mené à la détection de DarkGate, Emotet et Lokibot souligne l’importance de la mise en place de mesures proactives pour se protéger contre les cyber-dangers en constante évolution », commente Jornt van der Wiel, chercheur senior en sécurité au sein de l’équipe de recherche et d’analyse mondiale de Kaspersky. 

Pour en savoir plus sur les nouvelles méthodes d’infection, consultez Securelist.

Pour vous protéger, vous et votre entreprise, des attaques de ransomware, suivez les conseils de Kaspersky :

  • Maintenez toujours les logiciels à jour sur tous les appareils que vous utilisez afin d’empêcher les attaquants d’exploiter les vulnérabilités actives et d’infiltrer votre réseau. 

  • Focalisez votre stratégie de défense sur la détection des mouvements latéraux et des fuites de données sur Internet. Accordez une attention particulière au trafic sortant afin de détecter les connexions des cybercriminels à votre réseau. Mettez en place des sauvegardes hors ligne que les cybercriminels ne pourront pas trafiquer. Assurez-vous de pouvoir y accéder rapidement en cas d’urgence. 

  • Activez la protection contre les ransomwares sur l’ensemble des postes de travail, qui protège les ordinateurs et les serveurs contre les ransomwares et d’autres types de logiciels malveillants et bloque les exploits.

  • Installez des solutions anti-APT et EDR, permettant des capacités de découverte et de détection avancées des menaces, d’investigation et de remédiation rapide des incidents. Donnez à votre équipe SOC l’accès aux dernières informations sur les menaces et formez-la régulièrement à l’aide de programmes à destination des professionnels.

Donnez à votre équipe SOC l’accès aux dernières informations sur les menaces (TI). Le portail Kaspersky Threat Intelligence Portal est un point d’accès unique à la veille sur les menaces de Kaspersky, qui fournit des données sur les cyberattaques et des informations recueillies par notre équipe au cours des 20 dernières années. Pour aider les entreprises à se défendre efficacement en période de troubles, Kaspersky offre gratuitement l’accès à des informations indépendantes, mises à jour en continu et provenant du monde entier sur les cyberattaques et les menaces actuelles, accessible ici.