Зловреден софтуер PikaBot

Изследователите на Infosec са открили изключително сложна фишинг кампания, включваща злонамерения софтуер PikaBot, маркирайки я като най-напредналата фишинг операция след демонтирането на операцията Qakbot . Тази измамна имейл кампания започна през септември 2023 г. след успешното изземване и спиране на инфраструктурата на QBot (Qakbot) от ФБР.

Според изследователите, преди PikaBot, кампанията за атака е използвала предимно заплаха, наречена Dark Gate . Триковете и техниките, използвани от нападателите, отразяват точно тези, наблюдавани в предишните кампании на Qakbot, което предполага преход на участниците в заплахата на Qbot към по-нови ботнети за зловреден софтуер.

Qbot беше сред най-разпространените ботнети за зловреден софтуер, разпространявани по имейл. Сега DarkGate и PikaBot, които споделят множество функции с Qbot като модулни зареждащи зловреден софтуер, представляват значителна заплаха за предприятията. Подобно на Qbot, тези нови програми за зареждане на зловреден софтуер се очаква да бъдат използвани от заплахи, за да получат първоначален достъп до мрежи, което потенциално води до рансъмуер, шпионаж и атаки за кражба на данни.

PikaBot се доставя чрез фишинг атаки

Изследователите на Infosec са наблюдавали значителен скок в свързаните с измами имейли, разпространяващи злонамерения софтуер DarkGate, като участниците в заплахата се пренасочват към внедряване на PikaBot като основен полезен товар, започвайки през октомври 2023 г. Фишинг кампанията започва с имейл, маскиран като отговор или препращане на открадната дискусия нишка, тактика, насочена към насърчаване на доверието между получателите.

При щракване върху вградения URL адрес потребителите се подлагат на поредица от проверки, за да потвърдят своята валидност като цели, след което биват подканени да изтеглят ZIP архив, съдържащ капкомер за зловреден софтуер. Този капкомер извлича крайния полезен товар от отдалечен ресурс.

Нападателите експериментираха с различни първоначални програми за злонамерен софтуер, за да определят ефективността, включително:

• JavaScript капкомер (JS Dropper) е предназначен за изтегляне и изпълнение на PE или DLL файлове.
• Excel-DNA loader, използващ проект с отворен код, предназначен за създаване на XLL файл, използван тук за изтегляне и стартиране на зловреден софтуер.
• VBS (Virtual Basic Script) програми за изтегляне, способни да изпълняват зловреден софтуер чрез .vbs файлове в документи на Microsoft Office или да извикват изпълними файлове от командния ред.
• LNK програми за изтегляне, които злоупотребяват с преки пътища на Microsoft (.lnk), за да изтеглят и изпълняват зловреден софтуер.

През септември 2023 г. злонамереният софтуер DarkGate служи като последен полезен товар в тези атаки, но впоследствие беше заменен от PikaBot през октомври 2023 г.

PikaBot разполага с обширни мерки за антианализ

Представен в началото на 2023 г., PikaBot е съвременен злонамерен софтуер, състоящ се от зареждащ модул и основен модул, оборудван със стабилни механизми за отстраняване на грешки, анти-VM и анти-емулация. Този злонамерен софтуер щателно профилира заразените системи и предава събраните данни към своята инфраструктура за командване и контрол (C2), където очаква допълнителни инструкции.

C2 издава команди, насочващи злонамерения софтуер да изтегли и изпълни модули, налични под формата на DLL или PE файлове, shellcode или команди от командния ред, демонстрирайки своята гъвкавост като инструмент.

Изследователите предупреждават, че кампаниите PikaBot и DarkGate са дирижирани от умели заплахи, чиито умения надминават тези на типичните фишъри. Следователно организациите се приканват да се запознаят с тактиките, техниките и процедурите (TTP), свързани с тази кампания.