البرامج الضارة بيكابوت
اكتشف باحثو Infosec حملة تصيد احتيالي معقدة للغاية تشتمل على برنامج PikaBot الضار، مما يجعلها عملية التصيد الأكثر تقدمًا منذ تفكيك عملية Qakbot . بدأت حملة البريد الإلكتروني الاحتيالية هذه في سبتمبر 2023، بعد نجاح مكتب التحقيقات الفيدرالي في الاستيلاء على البنية التحتية لـ QBot (Qakbot) وإغلاقها.
وفقًا للباحثين، قبل PikaBot، استخدمت حملة الهجوم في المقام الأول تهديدًا يسمى Dark Gate . وتعكس الحيل والتقنيات التي يستخدمها المهاجمون بشكل وثيق تلك التي شوهدت في حملات Qakbot السابقة، مما يشير إلى انتقال الجهات الفاعلة في تهديد Qbot إلى شبكات الروبوتات الضارة الأحدث.
كان Qbot من بين أكثر شبكات الروبوتات الضارة انتشارًا عبر البريد الإلكتروني. والآن، يمثل DarkGate وPikaBot، اللذان يشتركان في العديد من الميزات مع Qbot كمحملين معياريين للبرامج الضارة، تهديدًا كبيرًا للمؤسسات. وعلى غرار Qbot، من المتوقع أن يتم استخدام أدوات تحميل البرامج الضارة الجديدة هذه من قبل جهات التهديد للوصول الأولي إلى الشبكات، مما قد يؤدي إلى هجمات برامج الفدية والتجسس وسرقة البيانات.
يتم تسليم PikaBot من خلال هجمات التصيد
لاحظ باحثو Infosec زيادة كبيرة في رسائل البريد الإلكتروني المتعلقة بالاحتيال التي تنشر برنامج DarkGate الضار، مع تحول الجهات الفاعلة في التهديد إلى نشر PikaBot باعتباره الحمولة الأساسية بدءًا من أكتوبر 2023. تبدأ حملة التصيد الاحتيالي برسالة بريد إلكتروني متنكرة في شكل رد أو إعادة توجيه لمناقشة مسروقة الخيط، وهو تكتيك يهدف إلى تعزيز الثقة بين المتلقين.
عند النقر على عنوان URL المضمن، يخضع المستخدمون لسلسلة من الفحوصات للتأكد من صلاحيتهم كأهداف، ثم تتم مطالبتهم بعد ذلك بتنزيل أرشيف ZIP يحتوي على قطارة البرامج الضارة. تقوم هذه القطارة باسترداد الحمولة النهائية من مورد بعيد.
قام المهاجمون باختبار العديد من البرامج الضارة الأولية لتحديد مدى فعاليتها، بما في ذلك:
- تم تصميم قطارة JavaScript (JS Dropper) لتنزيل وتنفيذ ملفات PE أو DLLs.
- أداة تحميل Excel-DNA تستفيد من مشروع مفتوح المصدر مخصص لإنشاء ملف XLL، ويتم استغلاله هنا لتنزيل البرامج الضارة وتشغيلها.
- أدوات تنزيل VBS (Virtual Basic Script) قادرة على تنفيذ البرامج الضارة من خلال ملفات .vbs في مستندات Microsoft Office أو استدعاء الملفات التنفيذية لسطر الأوامر.
- برامج تنزيل LNK التي تسيء استخدام ملفات اختصارات Microsoft (.lnk) لتنزيل البرامج الضارة وتنفيذها.
طوال شهر سبتمبر 2023، كانت البرمجيات الخبيثة DarkGate بمثابة الحمولة النهائية في هذه الهجمات، ولكن تم استبدالها لاحقًا بـ PikaBot في أكتوبر 2023.
لدى PikaBot إجراءات واسعة النطاق لمكافحة التحليل
تم طرح PikaBot في أوائل عام 2023، وهو عبارة عن برنامج ضار معاصر يشتمل على أداة تحميل ووحدة أساسية، ومجهز بآليات قوية لمكافحة تصحيح الأخطاء ومكافحة الأجهزة الافتراضية ومكافحة المحاكاة. تقوم هذه البرامج الضارة بتصنيف الأنظمة المصابة بدقة وتنقل البيانات المجمعة إلى البنية التحتية للقيادة والتحكم (C2)، حيث تنتظر المزيد من التعليمات.
يصدر C2 أوامر لتوجيه البرامج الضارة لتنزيل وتنفيذ الوحدات، المتوفرة في شكل ملفات DLL أو PE، أو كود القشرة، أو أوامر سطر الأوامر، مما يعرض تعدد استخداماته كأداة.
ويحذر الباحثون من أن حملات PikaBot وDarkGate يتم تنسيقها من قبل جهات تهديد ماهرة تفوق مهاراتها مهارات المخادعين التقليديين. وبالتالي، يتم حث المنظمات على التعرف على التكتيكات والتقنيات والإجراءات (TTPs) المرتبطة بهذه الحملة.
