Un nuevo informe de Kaspersky desvela tácticas complejas de infección en las variedades de malware DarkGate, Emotet y LokiBot. El cifrado único de DarkGate, junto al regreso de Emotet y la persistencia de LokiBot obligan al sector de la ciberseguridad a evolucionar constantemente.
En junio de 2023 los analistas de Kaspersky descubrieron un nuevo cargador o loader llamado DarkGate con funciones fuera de lo normal. Entre ellas se encuentra el uso de una herramienta VNC (programa que toma el control del ordenador en remoto), el bloqueo de Windows Defender y el robo del historial del navegador y de tokens en Discord. DarkGate se desarrolla en cuatro etapas y lo que diferencia a este loader del resto es que tiene una forma única de cifrar cadenas mediante claves personalizadas. También cuenta con una versión a medida del algoritmo de codificación Base64 que utiliza caracteres especiales.
Los expertos de Kaspersky también analizaron Emotet, una conocida botnet que resurge de sus cenizas tras ser desmantelada en 2021. Utiliza OneNote como principal vector de ataque. Los usuarios que abren los archivos de esta app ejecutan, sin saberlo, un VBScript que inyecta código malicioso (DLL) con instrucciones ocultas.
Kaspersky también ha detectado una campaña de phishing dirigida a empresas de buques de carga a través de LokiBot, descubierto en 2016 y diseñado para el robo de credenciales de navegadores, clientes FTP, etcétera. Se difunde a través de documentos adjuntos en correos electrónicos. Se trata de archivos de Excel que aprovechan una vulnerabilidad conocida (CVE-2017-0199) de Microsoft Office para la descarga de un documento RTF que aprovecha otra vulnerabilidad (CVE-2017-11882) para ejecutar LokiBot.
“El resurgir de Emotet, la actividad de Lokibot y la aparición de DarkGate nos recuerda que las amenazas cibernéticas están en constante evolución. Es crucial para empresas y personas estar siempre alerta e invertir en soluciones de ciberseguridad de confianza. La investigación de Kaspersky en torno a DarkGate, Emotet y Lokibot subraya la importancia de tomar medidas proactivas para protegerse contra las nuevas amenazas cibernéticas”, explica Jornt van der Wiel, investigador principal de seguridad del Equipo de Análisis e Investigación Global de Kaspersky.
Para que empresas y personas estén protegidas frente a los ataques de ransomware, Kaspersky recomienda:
Puedes encontrar más información sobre las nuevas amenazas en el blog de Kaspersky.