Malware PikaBot

Výzkumníci společnosti Infosec odhalili vysoce sofistikovanou phishingovou kampaň obsahující malware PikaBot a označili ji za nejpokročilejší phishingovou operaci od demontáže operace Qakbot . Tato podvodná e-mailová kampaň začala v září 2023 po úspěšném zabavení a vypnutí infrastruktury QBot (Qakbot) FBI.

Podle výzkumníků před PikaBotem útočná kampaň primárně využívala hrozbu zvanou Dark Gate . Triky a techniky používané útočníky přesně odrážejí ty, které jsme viděli v předchozích kampaních Qakbot, což naznačuje přechod aktérů hrozeb Qbot na novější malwarové botnety.

Qbot patřil mezi nejrozšířenější malwarové botnety šířené e-mailem. Nyní DarkGate a PikaBot, které s Qbotem sdílejí četné funkce jako modulární nakladače malwaru, představují významnou hrozbu pro podniky. Podobně jako u Qbota se očekává, že tyto nové nakladače malwaru budou využívány aktéry hrozeb k získání počátečního přístupu k sítím, což může vést k útokům ransomwaru, špionáže a krádeže dat.

PikaBot je dodáván prostřednictvím phishingových útoků

Výzkumníci společnosti Infosec zaznamenali významný nárůst e-mailů souvisejících s podvody šířícími malware DarkGate, přičemž aktéři hrozeb se od října 2023 přesunuli k nasazení PikaBot jako primárního užitečného zatížení. Phishingová kampaň začíná e-mailem vydávajícím se za odpověď nebo přeposílání ukradené diskuze. vlákno, taktika zaměřená na podporu důvěry mezi příjemci.

Po kliknutí na vloženou adresu URL uživatelé podstoupí řadu kontrol, aby potvrdili jejich platnost jako cíle, a následně jsou vyzváni ke stažení archivu ZIP s kapátkem malwaru. Tento dropper načte konečné užitečné zatížení ze vzdáleného zdroje.

Útočníci experimentovali s různými počátečními kapátkami malwaru, aby zjistili účinnost, včetně:

• JavaScript dropper (JS Dropper) je určen pro stahování a spouštění PE nebo DLL.
• Excel-DNA loader využívající open-source projekt určený pro vytváření XLL souborů, zde využívaný ke stahování a spouštění malwaru.
• Stahovače VBS (Virtual Basic Script) schopné spouštět malware prostřednictvím souborů .vbs v dokumentech Microsoft Office nebo vyvolávat spustitelné soubory příkazového řádku.
• Stahovací programy LNK, které zneužívají soubory zástupců společnosti Microsoft (.lnk) ke stahování a spouštění malwaru.

V průběhu září 2023 sloužil malware DarkGate jako poslední náklad v těchto útocích, ale následně byl v říjnu 2023 nahrazen PikaBotem.

PikaBot má rozsáhlá antianalytická opatření

PikaBot, představený na začátku roku 2023, je současný malware obsahující zavaděč a základní modul, vybavený robustními mechanismy proti ladění, VM a emulaci. Tento malware pečlivě profiluje infikované systémy a přenáší shromážděná data do své infrastruktury velení a řízení (C2), kde čeká na další pokyny.

C2 vydává příkazy, které nasměrují malware ke stažení a spuštění modulů, dostupných ve formě souborů DLL nebo PE, shell kódu nebo příkazů z příkazové řádky, čímž předvádí svou všestrannost jako nástroje.

Výzkumníci upozorňují, že kampaně PikaBot a DarkGate jsou řízeny zkušenými aktéry hrozeb, jejichž schopnosti převyšují schopnosti typických phisherů. V důsledku toho jsou organizace vyzývány, aby se seznámily s taktikou, technikami a postupy (TTP) souvisejícími s touto kampaní.