PikaBot Malware

Infosec-forskere har opdaget en meget sofistikeret phishing-kampagne, der inkorporerer PikaBot-malwaren, og markerer den som den mest avancerede phishing-operation siden afviklingen af Qakbot -operationen. Denne svigagtige e-mail-kampagne startede i september 2023 efter FBI's vellykkede beslaglæggelse og nedlukning af QBots (Qakbot) infrastruktur.

Ifølge forskere brugte angrebskampagnen før PikaBot primært en trussel kaldet Dark Gate . De tricks og teknikker, som angriberne anvender, afspejler tæt dem, der er set i tidligere Qakbot-kampagner, hvilket tyder på en overgang af Qbot-trusselsaktører til nyere malware-botnets.

Qbot var blandt de mest udbredte malware-botnets, der blev spredt via e-mail. Nu udgør DarkGate og PikaBot, som deler adskillige funktioner med Qbot som modulære malware-indlæsere, en betydelig trussel mod virksomheder. I lighed med Qbot forventes disse nye malware-indlæsere at blive brugt af trusselsaktører for at få indledende adgang til netværk, hvilket potentielt kan føre til ransomware, spionage og datatyveri.

PikaBot leveres gennem phishing-angreb

Infosec-forskere har observeret en betydelig stigning i svindelrelaterede e-mails, der udbreder DarkGate-malwaren, hvor trusselsaktører skifter til at implementere PikaBot som den primære nyttelast fra oktober 2023. Phishing-kampagnen starter med en e-mail, der maskerer sig som et svar eller fremadrettet til en pillet diskussion tråd, en taktik rettet mod at skabe tillid blandt modtagere.

Ved at klikke på den indlejrede URL gennemgår brugere en række kontroller for at bekræfte deres gyldighed som mål, og bliver efterfølgende bedt om at downloade et ZIP-arkiv, der indeholder en malware-dropper. Denne dropper henter den endelige nyttelast fra en ekstern ressource.

Angriberne eksperimenterede med forskellige indledende malware-droppere for at bestemme effektiviteten, herunder:

• En JavaScript dropper (JS Dropper) er designet til at downloade og udføre PE'er eller DLL'er.
• En Excel-DNA-indlæser, der udnytter et open source-projekt beregnet til XLL-filoprettelse, udnyttet her til at downloade og køre malware.
• VBS (Virtual Basic Script)-downloadere, der er i stand til at udføre malware gennem .vbs-filer i Microsoft Office-dokumenter eller påkalde kommandolinjeeksekverbare filer.
• LNK-downloadere, der misbruger Microsoft-genvejsfiler (.lnk) til at downloade og udføre malware.

I hele september 2023 fungerede DarkGate-malwaren som den endelige nyttelast i disse angreb, men den blev efterfølgende erstattet af PikaBot i oktober 2023.

PikaBot har omfattende anti-analyseforanstaltninger

PikaBot, der blev introduceret i begyndelsen af 2023, er en moderne malware, der omfatter en loader og et kernemodul, udstyret med robuste anti-debugging, anti-VM og anti-emuleringsmekanismer. Denne malware profilerer omhyggeligt inficerede systemer og sender de indsamlede data til dens kommando- og kontrolinfrastruktur (C2), hvor den afventer yderligere instruktioner.

C2 udsteder kommandoer, der dirigerer malwaren til at downloade og udføre moduler, tilgængelige i form af DLL- eller PE-filer, shellcode eller kommandolinjekommandoer, hvilket viser dens alsidighed som et værktøj.

Forskere advarer om, at PikaBot- og DarkGate-kampagnerne er orkestreret af dygtige trusselsaktører, hvis færdigheder overgår typiske phishere. Derfor opfordres organisationer til at sætte sig ind i taktikken, teknikkerne og procedurerne (TTP'er), der er korreleret med denne kampagne.