«Лаборатория Касперского» в июне 2023 года обнаружили новый вредонос и присвоили ему название DarkGate. Новое вредоносное ПО обладает расширенными функциями по сравнению с обычными зловредами такого типа. Кроме того, специалисты ИБ‑компании обнаружили новую активность ботнета Emotet и фишинговую кампанию с помощью вредоноса Lokibot, направленную на организации, занимающиеся морскими перевозками грузов.

Новый найденный зловред DarkGate представляет собой скрытое VNC‑подключение, обходящее работу средства защиты Microsoft Defender. DarkGate умеет красть историю браузера, создавать обратный прокси и файловый менеджер, крадёт токены Discord. Цепочка заражения этого вредоноса состоит из четырёх этапов, а каждая строка шифруется с уникальным ключом и модифицированной версией кодировки Base64 (с собственным набором символов).

Как уже говорилось, кроме обнаружения нового зловреда, вернулся и другой — Emotet. ИБ‑специалисты в 2023 году вновь обнаружили активность этого ботнета. Как считалось, он был ликвидирован в 2021 году.

В новой волне атак злоумышленники использовали популярный вектор заражения, а именно рассылали письма с вредоносными файлами OneNote. При открытии письма и просмотре вложения пользователь запускает выполнение вредоносного скрипта VBScript. Помимо обнаружения кампании с использованием Emotet, была обнаружена фишинговая кампания, нацеленная на организации, занимающиеся морскими перевозками грузов. В этой кампании злоумышленники использовали ВПО Lokibot.

Впервые этот инфостилер был обнаружен в 2016 году. Он предназначен для кражи учётных данных из разных приложений, включая браузеры и FTP‑клиенты. Как и в случае с Emotet, Lokibot рассылается через электронные письма с вредоносными вложениями, только вложения содержат Excel‑файлы. В этих файлах содержаться макросы. С помощью макросов злоумышленники эксплуатировали известную уязвимость в Microsoft Office (CVE-2017–0199), ведущую к загрузке RTF‑документа, а RTF‑документ, в свою очередь, эксплуатировал другую уязвимость (CVE-2017–11 882) для загрузки и запуска LokiBot.

3 августа «Лаборатория Касперского» заявила о выявлении серии целевых кибератак на промышленные предприятия с применением более 15 вредоносных имплантов для кражи данных. В ходе этой серии злоумышленники пытались обойти защитные решения и использовали более 15 имплантов для получения доступа к данным организаций. Киберпреступники также пытались проникнуть в изолированные части инфраструктуры.