Malware: Neue Infektionsmethoden bei Emotet, DarkGate und LokiBot

Eine neue Analyse von Kaspersky deckt komplizierte Infektionstaktiken von Malware-Stämmen auf. Demnach meldet sich das berühmte Botnet Emotet mittels neuem Infektionsweg über OneNote-Dateien zurück und greift Unternehmen an. Zusätzlich wurde der Loader DarkGate mit zahlreichen neuen Features ausgestattet und LokiBot zielt in Phishing-Mails mit Excel-Anhängen auf Frachtschiffunternehmen ab.

Der aktuelle Bericht zeigt die aktuellen komplizierten Infektionstaktiken der Schadprogramme DarkGate, Emotet und LokiBot auf. Die einzigartige Verschlüsselung von DarkGate und das robuste Comeback von Emotet sowie die anhaltenden Exploits von LokiBot unterstreichen die Notwendigkeit einer sich ständig weiterentwickelnden Cybersicherheits-Landschaft.

Malware Emotet nutzt OneNote-Datei zur Ausführung schädlicher Scripts

Nachdem das berüchtigte Botnet Emotet im Jahr 2021 abgeschaltet wurde, verzeichnete Kaspersky nun erneut Aktivitäten. Bei der aktuellen Kampagne lösen Anwender unwissentlich nach dem Öffnen einer schädlichen OneNote-Datei die Ausführung eines versteckten und getarnten VBScripts aus. Das Skript versucht dann so lange, eine schädliche Payload von verschiedenen Websites herunterzuladen, bis es das System erfolgreich infiltriert hat. Danach legt Emotet eine DLL im temporären Verzeichnis ab und sorgt für deren Ausführung. Diese DLL umfasst versteckte Befehle oder Shellcode sowie verschlüsselte Importfunktionen. Indem die Malware eine bestimmte Datei aus dem Ressourcenbereich entschlüsselt, gewinnt Emotet die Oberhand und führt schließlich seinen schädlichen Payload aus.

DarkGate: Mehr als typische Downloader-Funktionen

Im Juni 2023 entdeckte Kaspersky den neuen Loader DarkGate, der mit einer Vielzahl von Funktionen ausgestattet ist. Diese gehen über typische Downloader-Funktionen hinaus. Dazu zählen unter anderem ein verstecktes Virtual Network Computing (VNC), die Deaktivierung von Windows Defender, das Stehlen des Browserverlaufs, Reverse Proxy, unerlaubte Dateiverwaltung und das Abgreifen von Discord-Tokens. DarkGate funktioniert über eine Vier-Stufen-Kette, die so konzipiert ist, dass sie zum Laden von DarkGate selbst führt. Der Loader unterscheidet sich von anderen in seiner Verschlüsselungsart, die Zeichenketten mit personalisierten Schlüsseln umfasst sowie einer angepassten Version der Base64-Kodierung, die einen speziellen Zeichensatz verwendet.

Malware LokiBot zielt auf Frachtschiffunternehmen ab

Darüber hinaus entdeckte Kaspersky eine Phishing-Kampagne, die mit LokiBot auf Frachtschiffunternehmen abzielt. LokiBot ist ein Infostealer, der erstmals im Jahr 2016 identifiziert wurde und Cyberkriminellen dazu dient, Anmeldeinformationen von verschiedenen Anwendungen, einschließlich Browsern und FTP-Clients, zu stehlen. Bei dieser Kampagne wurden E-Mails mit einem Excel-Anhang verschickt, in dem die Nutzer aufgefordert wurden, Makros zu aktivieren. Dazu nutzten die Angreifer eine bekannte Sicherheitslücke (CVE-2017-0199) in Microsoft Office aus, die zum Download eines RTF-Dokuments führte. Dieses RTF-Dokument verwendet anschließend eine weitere Schwachstelle (CVE-2017-11882), um LokiBot-Malware einzuschleusen und auszuführen.

„Die Rückkehr von Emotet, die anhaltende Präsenz von LokiBot sowie das Auftauchen von DarkGate sind eine Erinnerung daran, dass sich Cyberbedrohungen ständig weiterentwickeln“, erklärt Jornt van der Wiel, Senior Security Researcher im Global Research & Analysis Team (GReAT) bei Kaspersky. „Angesichts der Tatsache, dass sich diese Schadprogramme anpassen und neue Infektionsmethoden entwickeln, ist es sowohl für Privatpersonen als auch für Unternehmen entscheidend, wachsam zu sein und in robuste Cybersicherheitslösungen zu investieren. Unsere fortlaufenden Untersuchungen und Entdeckung diese Malware-Stämme betreffend unterstreichen die Bedeutung proaktiver Sicherheitsmaßnahmen zum Schutz vor stetig fortschreitenden Cybergefahren.“

Empfehlungen zum Schutz vor Schadsoftware

Mit folgenden Tipps können sich Unternehmen vor Malware bestmöglich schützen:

• Software auf allen Geräten stets auf dem neuesten Stand halten, um zu verhindern, dass Angreifer Schwachstellen ausnutzen und in das Netzwerk eindringen können.
• Die Verteidigungsstrategie auf die Erkennung von lateralen Bewegungen und Datenlecks im Internet konzentrieren. Dabei besonders auf ausgehenden Datenverkehr achten, um die Verbindungen von Cyberkriminellen zu einem Netzwerk zu erkennen.
• Offline-Backups einrichten, die nicht manipuliert werden können. Sicherstellen, dass bei Bedarf oder im Notfall schnell auf diese Daten zugegriffen werden kann.
• Ransomware-Schutz auf allen Endgeräten aktivieren. Das kostenfrei erhältliche Anti-Ransomware Tool for Business, schützt Computer und Server vor Ransomware und anderen Arten von Malware, verhindert Exploits und ist mit bereits installierten Sicherheitslösungen kompatibel.
• Anti-APT- und EDR-Lösungen installieren, die Funktionen für die fortschrittliche Erkennung von Bedrohungen, die Untersuchung und rechtzeitige Behebung von Vorfällen ermöglichen. Dem SOC-Team Zugang zu den neuesten Bedrohungsdaten ermöglichen und regelmäßig durch professionelle Schulungen weiterbilden. Des ist im Rahmen von Kaspersky Expert Security möglich.
• Dem SOC-Team den Zugriff auf die neuesten Bedrohungsdaten gewähren, beispielsweise über das Threat Intelligence Portal von Kaspersky. Dieses bietet Cyberangriffsdaten und Erkenntnisse aus über 25 Jahren Forschungstätigkeit. Um Unternehmen in diesen turbulenten Zeiten einen effektiven Schutz zu gewährleisten, bietet Kaspersky zudem einen kostenlosen Zugang zu unabhängigen und ständig aktualisierten Informationen über aktuelle Cyberangriffe und Bedrohungen an.

Cybersicherheit: Jedes zweite Unternehmen ist ohne Basisschutz

Unternehmen in Deutschland mangelt es an grundlegenden Cybersicherheits-Maßnahmen. Dies geht aus der aktuellen Studie „Incident Response zur Prävention – Warum Unternehmen in Deutschland schlecht auf Cyberangriffe vorbereitet sind und wie sie dank Incident-Response-Methoden cyberresilienter werden“ von Kaspersky hervor. Denn obwohl bereits einfache Schritte das Sicherheitslevel erhöhen können, setzen nur 64,5 Prozent Passwort-Richtlinien ein, erstellen 58,0 Prozent Backups und nutzen 54,0 Prozent eine Multi-Faktor-Authentifizierung.

Laut TÜV-Verband hatten Entscheider in jeder neunten Finanzorganisation im vergangenen Jahr einen Sicherheitsvorfall zu beklagen. Weiterhin entstand laut Bitkom ein Schaden von rund 203 Milliarden Euro durch Cyberangriffe auf deutsche Unternehmen. Entscheidungsträgern sollte daher klar sein, dass eine präventive und nachhaltige Cybersicherheitsstrategie ein „Muss“ für einen nachhaltigen Cyberschutz ist. Allerdings ist der Status quo an Sicherheitsmaßnahmen bei einigen Unternehmen in Deutschland ernüchternd, wie die aktuelle Studie „Incident Response zur Prävention“ zeigt.

Passwort-Richtlinien, Backups oder Trainings sind nicht nötig

Wie die Umfrage feststellt, fehlt es in vielen Unternehmen an grundlegenden Sicherheitsmaßnahmen. So setzen bis dato zu wenige Betriebe Passwort-Richtlinien (64,5 Prozent), Backup-Erstellung (58 Prozent) oder Multi-Faktor-Authentifizierung (54 Prozent) ein. Dabei handelt es sich hierbei um grundlegende Maßnahmen, die gemeinsam mit einer dedizierten Cybersicherheitslösung den Basisschutz vor Angriffen darstellen.

Weiterhin schulen 37 Prozent der Unternehmen in Deutschland ihre Mitarbeiter nicht regelmäßig zu Themen wie Spam oder Phishing – die klassischen Einfallstore für Cyberkriminelle, um an Zugangsdaten zu gelangen. Die Krux dabei: Die Zeiten schlecht geschriebener Spam- und Phishing-Mails voller Rechtschreibfehler sind längst vorbei. Heute sind sie kaum noch von echten Nachrichten zu unterscheiden. Jedoch setzt auch nur etwas mehr als die Hälfte (54,5 Prozent) der Unternehmen Anti-Phishing-Software ein, um sich dagegen zu schützen. Zudem verfügt derzeit nur jedes dritte Unternehmen (35,5 Prozent) über eine Patch-Management-Richtlinie. Dabei gehören Sicherheitslücken in Anwendungen und Betriebssystemen zu den häufigsten Angriffsvektoren in Unternehmen.

Die Umfrage zur Studie „Incident Response zur Prävention – warum Unternehmen in Deutschland schlecht auf Cyberangriffe vorbereitet sind und wie sie dank Incident-Response-Methoden cyberresilienter werden“ ist verfügbar unter wurde von Arlington Research im Auftrag von Kaspersky im Juni 2023 durchgeführt. Dabei wurden insgesamt 200 IT-Entscheidungsträger in Deutschland, 50 in Österreich und 50 in der Schweiz zum Thema Incident Response befragt. (sg)

Lesen Sie auch: Ransomware-Angriffe: Auf was sich Unternehmen einstellen sollten