Programari maliciós PikaBot
Els investigadors de Infosec han detectat una campanya de pesca molt sofisticada que incorpora el programari maliciós PikaBot, marcant-la com l'operació de pesca més avançada des que es va desmantellar l'operació Qakbot . Aquesta campanya de correu electrònic fraudulenta va començar el setembre de 2023, després de la confiscació i tancament reeixits de la infraestructura de QBot (Qakbot) per part de l'FBI.
Segons els investigadors, abans de PikaBot, la campanya d'atac va utilitzar principalment una amenaça anomenada Dark Gate . Els trucs i tècniques emprats pels atacants reflecteixen de prop els que s'han vist a les campanyes anteriors de Qakbot, cosa que suggereix una transició dels actors de l'amenaça de Qbot a les noves botnets de programari maliciós.
Qbot es trobava entre les botnets de programari maliciós més estes difoses per correu electrònic. Ara, DarkGate i PikaBot, que comparteixen nombroses funcions amb Qbot com a carregadors de programari maliciós modular, representen una amenaça important per a les empreses. De manera similar a Qbot, s'espera que aquests nous carregadors de programari maliciós siguin utilitzats pels actors d'amenaça per obtenir l'accés inicial a les xarxes, la qual cosa podria provocar atacs de ransomware, espionatge i robatori de dades.
PikaBot es lliura mitjançant atacs de pesca
Els investigadors d'Infosec han observat un augment significatiu dels correus electrònics relacionats amb el frau que propaguen el programari maliciós DarkGate, i els actors de l'amenaça han passat a desplegar PikaBot com a càrrega útil principal a partir de l'octubre de 2023. La campanya de pesca s'inicia amb un correu electrònic dissimulat com a resposta o reenviament d'una discussió robada. fil, una tàctica destinada a fomentar la confiança entre els destinataris.
En fer clic a l'URL incrustat, els usuaris se sotmeten a una sèrie de comprovacions per confirmar la seva validesa com a objectius, i posteriorment se'ls demana que baixin un arxiu ZIP que allotja un comptagote de programari maliciós. Aquest dropper recupera la càrrega útil final d'un recurs remot.
Els atacants van experimentar amb diversos droppers inicials de programari maliciós per determinar l'eficàcia, incloent:
- Un dropper de JavaScript (JS Dropper) està dissenyat per descarregar i executar PE o DLL.
- Un carregador d'ADN d'Excel que aprofita un projecte de codi obert destinat a la creació de fitxers XLL, explotat aquí per descarregar i executar programari maliciós.
- Descarregadors de VBS (Virtual Basic Script) capaços d'executar programari maliciós mitjançant fitxers .vbs en documents de Microsoft Office o invocar executables de línia d'ordres.
- Descarregadors de LNK que fan un mal ús dels fitxers de drecera de Microsoft (.lnk) per descarregar i executar programari maliciós.
Al llarg de setembre de 2023, el programari maliciós DarkGate va servir com a càrrega útil final en aquests atacs, però posteriorment va ser substituït per PikaBot l'octubre de 2023.
PikaBot té àmplies mesures antianàlisi
Introduït a principis de 2023, PikaBot és un programari maliciós contemporani que consta d'un carregador i un mòdul bàsic, equipat amb robustos mecanismes antidepuració, anti-VM i anti-emulació. Aquest programari maliciós perfila meticulosament els sistemes infectats i transmet les dades recopilades a la seva infraestructura de comandament i control (C2), on espera instruccions addicionals.
El C2 emet ordres que dirigeixen el programari maliciós a descarregar i executar mòduls, disponibles en forma de fitxers DLL o PE, codi de comandament o ordres de línia d'ordres, mostrant la seva versatilitat com a eina.
Els investigadors adverteixen que les campanyes PikaBot i DarkGate estan orquestades per actors d'amenaça experts les habilitats dels quals superen les dels phishers típics. En conseqüència, es demana a les organitzacions que es familiaritzin amb les Tàctiques, Tècniques i Procediments (TTP) correlacionades amb aquesta campanya.
