بدافزار PikaBot
محققان Infosec یک کمپین فیشینگ بسیار پیچیده را شناسایی کردهاند که بدافزار PikaBot را در خود جای داده است و آن را بهعنوان پیشرفتهترین عملیات فیشینگ از زمان برچیدن عملیات Qakbot معرفی کردهاند. این کمپین ایمیل تقلبی در سپتامبر 2023 و پس از توقیف موفقیت آمیز FBI و خاموش کردن زیرساخت QBot (Qakbot) آغاز شد.
به گفته محققان، قبل از PikaBot، کمپین حمله در درجه اول از تهدیدی به نام Dark Gate استفاده می کرد. ترفندها و تکنیکهایی که مهاجمان به کار میگیرند، دقیقاً همان چیزی است که در کمپینهای قبلی Qakbot دیده شده بود، و نشاندهنده انتقال عوامل تهدید Qbot به باتنتهای بدافزار جدیدتر است.
Qbot یکی از گستردهترین باتنتهای بدافزاری بود که از طریق ایمیل منتشر شد. اکنون DarkGate و PikaBot که ویژگیهای متعددی را با Qbot بهعنوان بارکنندههای بدافزار مدولار مشترک دارند، تهدیدی مهم برای شرکتها هستند. مشابه Qbot، انتظار میرود این بارکنندههای بدافزار جدید توسط عوامل تهدید برای دستیابی به دسترسی اولیه به شبکهها مورد استفاده قرار گیرند که به طور بالقوه منجر به حملات باجافزار، جاسوسی و سرقت داده میشود.
PikaBot از طریق حملات فیشینگ تحویل داده می شود
محققان Infosec افزایش قابل توجهی را در ایمیلهای مرتبط با کلاهبرداری مشاهده کردهاند که بدافزار DarkGate را منتشر میکنند، و عوامل تهدید از اکتبر 2023 به سمت استقرار PikaBot بهعنوان محموله اصلی روی آوردهاند. کمپین فیشینگ با ایمیلی که به عنوان پاسخ یا ارسال یک بحث دزدی نشان داده میشود، آغاز میشود. نخ، تاکتیکی با هدف تقویت اعتماد در بین گیرندگان.
پس از کلیک بر روی URL تعبیه شده، کاربران یک سری بررسی ها را برای تایید اعتبار آنها به عنوان هدف انجام می دهند و متعاقباً از آنها خواسته می شود تا یک بایگانی ZIP را که حاوی یک قطره چکان بدافزار است دانلود کنند. این قطره چکان بار نهایی را از یک منبع راه دور بازیابی می کند.
مهاجمان برای تعیین اثربخشی بدافزارهای اولیه مختلفی را آزمایش کردند، از جمله:
- یک قطره چکان جاوا اسکریپت (JS Dropper) برای دانلود و اجرای PE یا DLL طراحی شده است.
- یک بارکننده Excel-DNA که از پروژه منبع باز در نظر گرفته شده برای ایجاد فایل XLL استفاده می کند، که در اینجا برای دانلود و اجرای بدافزار مورد سوء استفاده قرار می گیرد.
- دانلود کننده های VBS (Virtual Basic Script) که قادر به اجرای بدافزار از طریق فایل های vbs. در اسناد Microsoft Office یا فراخوانی فایل های اجرایی خط فرمان هستند.
- دانلود کننده های LNK که از فایل های میانبر مایکروسافت (.lnk) برای دانلود و اجرای بدافزار استفاده می کنند.
در سراسر سپتامبر 2023، بدافزار DarkGate به عنوان محموله نهایی در این حملات عمل کرد، اما متعاقباً توسط PikaBot در اکتبر 2023 جایگزین شد.
PikaBot اقدامات ضد تجزیه و تحلیل گسترده ای دارد
PikaBot که در اوایل سال 2023 معرفی شد، یک بدافزار معاصر است که شامل یک لودر و یک ماژول اصلی است که مجهز به مکانیزم های قوی ضد اشکال زدایی، ضد VM و ضد شبیه سازی است. این بدافزار بهطور دقیق سیستمهای آلوده را نمایه میکند و دادههای جمعآوریشده را به زیرساخت فرماندهی و کنترل (C2) منتقل میکند، جایی که منتظر دستورالعملهای بیشتر است.
C2 دستوراتی را صادر می کند که بدافزار را به دانلود و اجرای ماژول ها هدایت می کند، که در قالب فایل های DLL یا PE، کدهای پوسته یا دستورات خط فرمان موجود است و تطبیق پذیری آن را به عنوان یک ابزار نشان می دهد.
محققان هشدار میدهند که کمپینهای PikaBot و DarkGate توسط بازیگران تهدید ماهر که مهارتهایشان از مهارتهای فیشرهای معمولی فراتر است، سازماندهی شدهاند. در نتیجه، از سازمانها خواسته میشود تا خود را با تاکتیکها، تکنیکها و رویهها (TTP) مرتبط با این کمپین آشنا کنند.