Εκπτώσεις πολλαπλών αδειών
Threat Database Malware Κακόβουλο λογισμικό PikaBot

Κακόβουλο λογισμικό PikaBot

Μέχρι το Mezo το Malware, Botnets
Μετάφραση σε:
Ελληνικά

Οι ερευνητές της Infosec εντόπισαν μια εξαιρετικά εξελιγμένη καμπάνια phishing που ενσωματώνει το κακόβουλο λογισμικό PikaBot, χαρακτηρίζοντάς το ως την πιο προηγμένη λειτουργία phishing μετά την κατάργηση της λειτουργίας Qakbot . Αυτή η δόλια εκστρατεία ηλεκτρονικού ταχυδρομείου ξεκίνησε τον Σεπτέμβριο του 2023, μετά την επιτυχή κατάσχεση και τον τερματισμό της υποδομής του QBot (Qakbot) από το FBI.

Σύμφωνα με ερευνητές, πριν από το PikaBot, η εκστρατεία επίθεσης χρησιμοποιούσε κυρίως μια απειλή που ονομάζεται Dark Gate . Τα κόλπα και οι τεχνικές που χρησιμοποιήθηκαν από τους επιτιθέμενους αντικατοπτρίζουν στενά αυτά που είδαμε σε προηγούμενες καμπάνιες Qakbot, υποδηλώνοντας τη μετάβαση των παραγόντων απειλής Qbot σε νεότερα botnet κακόβουλου λογισμικού.

Το Qbot ήταν ένα από τα πιο διαδεδομένα botnet κακόβουλου λογισμικού που διαδόθηκαν μέσω email. Τώρα, το DarkGate και το PikaBot, τα οποία μοιράζονται πολλές δυνατότητες με το Qbot ως αρθρωτοί φορτωτές κακόβουλου λογισμικού, αποτελούν σημαντική απειλή για τις επιχειρήσεις. Παρόμοια με το Qbot, αυτοί οι νέοι φορτωτές κακόβουλου λογισμικού αναμένεται να χρησιμοποιηθούν από παράγοντες απειλών για να αποκτήσουν αρχική πρόσβαση στα δίκτυα, οδηγώντας ενδεχομένως σε επιθέσεις ransomware, κατασκοπείας και κλοπής δεδομένων.

Το PikaBot παραδίδεται μέσω επιθέσεων phishing

Οι ερευνητές της Infosec παρατήρησαν μια σημαντική αύξηση στα μηνύματα ηλεκτρονικού ταχυδρομείου που σχετίζονται με απάτη που διαδίδουν το κακόβουλο λογισμικό DarkGate, με τους παράγοντες απειλών να μετατοπίζονται στην ανάπτυξη του PikaBot ως κύριου ωφέλιμου φορτίου ξεκινώντας τον Οκτώβριο του 2023. Η εκστρατεία ηλεκτρονικού ψαρέματος ξεκινά με ένα μήνυμα ηλεκτρονικού ταχυδρομείου που μεταμφιέζεται ως απάντηση ή προώθηση μιας κλοπής συζήτησης νήμα, μια τακτική που αποσκοπεί στην ενίσχυση της εμπιστοσύνης μεταξύ των αποδεκτών.

Κάνοντας κλικ στην ενσωματωμένη διεύθυνση URL, οι χρήστες υποβάλλονται σε μια σειρά ελέγχων για να επιβεβαιώσουν την εγκυρότητά τους ως στόχοι, και στη συνέχεια τους ζητείται να κατεβάσουν ένα αρχείο ZIP που φιλοξενεί ένα σταγονόμετρο κακόβουλου λογισμικού. Αυτό το σταγονόμετρο ανακτά το τελικό ωφέλιμο φορτίο από έναν απομακρυσμένο πόρο.

Οι εισβολείς πειραματίστηκαν με διάφορα αρχικά droppers κακόβουλου λογισμικού για να προσδιορίσουν την αποτελεσματικότητα, όπως:

  • Ένα σταγονόμετρο JavaScript (JS Dropper) έχει σχεδιαστεί για λήψη και εκτέλεση PE ή DLL.
  • Ένας φορτωτής Excel-DNA που αξιοποιεί ένα έργο ανοιχτού κώδικα που προορίζεται για τη δημιουργία αρχείων XLL, το οποίο χρησιμοποιείται εδώ για λήψη και εκτέλεση κακόβουλου λογισμικού.
  • Πρόγραμμα λήψης VBS (Virtual Basic Script) με δυνατότητα εκτέλεσης κακόβουλου λογισμικού μέσω αρχείων .vbs σε έγγραφα του Microsoft Office ή επίκλησης εκτελέσιμων στη γραμμή εντολών.
  • Προγράμματα λήψης LNK που κάνουν κατάχρηση των αρχείων συντόμευσης της Microsoft (.lnk) για τη λήψη και την εκτέλεση κακόβουλου λογισμικού.

Καθ' όλη τη διάρκεια του Σεπτεμβρίου 2023, το κακόβουλο λογισμικό DarkGate χρησίμευε ως το τελικό ωφέλιμο φορτίο σε αυτές τις επιθέσεις, αλλά στη συνέχεια αντικαταστάθηκε από το PikaBot τον Οκτώβριο του 2023.

Το PikaBot διαθέτει εκτεταμένα μέτρα κατά της ανάλυσης

Το PikaBot, το οποίο παρουσιάστηκε στις αρχές του 2023, είναι ένα σύγχρονο κακόβουλο λογισμικό που περιλαμβάνει έναν φορτωτή και μια βασική μονάδα, εξοπλισμένη με ισχυρούς μηχανισμούς κατά του εντοπισμού σφαλμάτων, του VM και της εξομοίωσης. Αυτό το κακόβουλο λογισμικό δημιουργεί σχολαστικά προφίλ μολυσμένων συστημάτων και μεταδίδει τα δεδομένα που συγκεντρώθηκαν στην υποδομή εντολών και ελέγχου (C2), όπου αναμένει περαιτέρω οδηγίες.

Το C2 εκδίδει εντολές που κατευθύνουν το κακόβουλο λογισμικό για λήψη και εκτέλεση λειτουργικών μονάδων, που διατίθενται με τη μορφή αρχείων DLL ή PE, shellcode ή εντολών γραμμής εντολών, επιδεικνύοντας την ευελιξία του ως εργαλείου.

Οι ερευνητές προειδοποιούν ότι οι εκστρατείες PikaBot και DarkGate ενορχηστρώνονται από έμπειρους ηθοποιούς απειλών των οποίων οι δεξιότητες ξεπερνούν αυτές των τυπικών phishers. Κατά συνέπεια, οι οργανισμοί καλούνται να εξοικειωθούν με τις Τακτικές, Τεχνικές και Διαδικασίες (TTP) που σχετίζονται με αυτήν την εκστρατεία.

Τάσεις

Περισσότερες εμφανίσεις

Απάτη ηλεκτρονικού ταχυδρομείου «Geek Squad».

Phishing, Spam
23,160
Το Geek Squad, ένας δημοφιλής πάροχος τεχνικής υποστήριξης, έχει πέσει θύμα μιας απάτης ηλεκτρονικού ψαρέματος που ονομάζεται Geek Squad Email Scam. Αυτή η απάτη τεχνικής υποστήριξης χρησιμοποιεί πλαστά μηνύματα ηλεκτρονικού ταχυδρομείου που εξαπατούν τους ανθρώπους να δώσουν τα προσωπικά τους στοιχεία, όπως στοιχεία πιστωτικών καρτών, διευθύνσεις email, ακόμη και αριθμούς κοινωνικής ασφάλισης....
Φόρτωση...