PikaBoti pahavara

Infoseci teadlased on avastanud väga keeruka andmepüügikampaania, mis sisaldab PikaBoti pahavara, märkides selle kõige arenenumaks andmepüügioperatsiooniks pärast Qakboti operatsiooni demonteerimist. See petturlik meilikampaania algas 2023. aasta septembris pärast seda, kui FBI õnnestus QBoti (Qakbot) infrastruktuuri arestida ja sulgeda.

Teadlaste sõnul kasutati enne PikaBoti rünnakukampaanias peamiselt ohtu nimega Dark Gate . Ründajate kasutatud nipid ja tehnikad peegeldavad täpselt eelmistes Qakboti kampaaniates nähtuid, mis viitab Qboti ohus osalejate üleminekule uuematele pahavara robotivõrkudele.

Qbot oli üks levinumaid e-posti teel levitatavaid pahavararotivõrke. Nüüd kujutavad DarkGate ja PikaBot, mis jagavad Qbotiga arvukalt funktsioone modulaarsete pahavaralaadijatena, ettevõtetele märkimisväärset ohtu. Sarnaselt Qbotiga eeldatakse, et ohus osalejad kasutavad neid uusi pahavara laadijaid, et saada esmane juurdepääs võrkudele, mis võib viia lunavara-, spionaaži- ja andmevarguste rünnakuteni.

PikaBot tarnitakse andmepüügirünnakute kaudu

Infoseci teadlased on täheldanud DarkGate'i pahavara levitavate pettustega seotud meilide märkimisväärset tõusu, kusjuures ohus osalejad on alates 2023. aasta oktoobrist võtnud kasutusele PikaBoti kui peamise kasuliku koormuse. Andmepüügikampaania algab meiliga, mis maskeeritakse võltsitud arutelu vastuseks või edasisuunamiseks. niit, taktika, mille eesmärk on suurendada usaldust adressaatide vahel.

Manustatud URL-il klõpsamisel läbivad kasutajad mitmeid kontrolle, et kinnitada nende kehtivust sihtmärkidena. Seejärel palutakse neil alla laadida ZIP-arhiiv, mis sisaldab pahavara tilgutit. See tilguti hangib kaugressursist lõpliku kasuliku koormuse.

Ründajad katsetasid tõhususe määramiseks mitmesuguseid esialgseid pahavara tilgutajaid, sealhulgas:

• JavaScripti tilguti (JS Dropper) on mõeldud PE-de või DLL-ide allalaadimiseks ja täitmiseks.
• Excel-DNA laadija, mis kasutab XLL-failide loomiseks mõeldud avatud lähtekoodiga projekti, mida kasutatakse siin pahavara allalaadimiseks ja käitamiseks.
• VBS-i (Virtual Basic Script) allalaadijad, mis on võimelised käivitama pahavara Microsoft Office'i dokumentides olevate .vbs-failide kaudu või käivitama käsurea täitmisfaile.
• LNK allalaadijad, mis kuritarvitavad pahavara allalaadimiseks ja käivitamiseks Microsofti otseteefaile (.lnk).

Kogu 2023. aasta septembris oli DarkGate'i pahavara nende rünnakute viimane kandevõime, kuid hiljem asendati see 2023. aasta oktoobris PikaBotiga.

PikaBotil on ulatuslikud analüüsivastased meetmed

2023. aasta alguses tutvustatud PikaBot on kaasaegne pahavara, mis koosneb laadijast ja põhimoodulist, mis on varustatud tugevate silumis-, VM-i ja emulatsioonivastaste mehhanismidega. See pahavara profileerib hoolikalt nakatunud süsteemid ja edastab kogutud andmed oma juhtimis- ja juhtimisinfrastruktuuri (C2), kus ta ootab edasisi juhiseid.

C2 annab välja käsud, mis suunavad pahavara alla laadima ja mooduleid käivitama, mis on saadaval DLL- või PE-failide, shellkoodi või käsurea käskude kujul, mis näitab selle mitmekülgsust tööriistana.

Teadlased hoiatavad, et PikaBoti ja DarkGate'i kampaaniaid juhivad vilunud ohutegijad, kelle oskused ületavad tüüpiliste andmepüüdjate omad. Seetõttu kutsutakse organisatsioone üles tutvuma selle kampaaniaga seotud taktikate, tehnikate ja protseduuridega (TTP).