بدافزار PikaBot

محققان Infosec یک کمپین فیشینگ بسیار پیچیده را شناسایی کرده‌اند که بدافزار PikaBot را در خود جای داده است و آن را به‌عنوان پیشرفته‌ترین عملیات فیشینگ از زمان برچیدن عملیات Qakbot معرفی کرده‌اند. این کمپین ایمیل تقلبی در سپتامبر 2023 و پس از توقیف موفقیت آمیز FBI و خاموش کردن زیرساخت QBot (Qakbot) آغاز شد.

به گفته محققان، قبل از PikaBot، کمپین حمله در درجه اول از تهدیدی به نام Dark Gate استفاده می کرد. ترفندها و تکنیک‌هایی که مهاجمان به کار می‌گیرند، دقیقاً همان چیزی است که در کمپین‌های قبلی Qakbot دیده شده بود، و نشان‌دهنده انتقال عوامل تهدید Qbot به بات‌نت‌های بدافزار جدیدتر است.

Qbot یکی از گسترده‌ترین بات‌نت‌های بدافزاری بود که از طریق ایمیل منتشر شد. اکنون DarkGate و PikaBot که ویژگی‌های متعددی را با Qbot به‌عنوان بارکننده‌های بدافزار مدولار مشترک دارند، تهدیدی مهم برای شرکت‌ها هستند. مشابه Qbot، انتظار می‌رود این بارکننده‌های بدافزار جدید توسط عوامل تهدید برای دستیابی به دسترسی اولیه به شبکه‌ها مورد استفاده قرار گیرند که به طور بالقوه منجر به حملات باج‌افزار، جاسوسی و سرقت داده می‌شود.

PikaBot از طریق حملات فیشینگ تحویل داده می شود

محققان Infosec افزایش قابل توجهی را در ایمیل‌های مرتبط با کلاهبرداری مشاهده کرده‌اند که بدافزار DarkGate را منتشر می‌کنند، و عوامل تهدید از اکتبر 2023 به سمت استقرار PikaBot به‌عنوان محموله اصلی روی آورده‌اند. کمپین فیشینگ با ایمیلی که به عنوان پاسخ یا ارسال یک بحث دزدی نشان داده می‌شود، آغاز می‌شود. نخ، تاکتیکی با هدف تقویت اعتماد در بین گیرندگان.

پس از کلیک بر روی URL تعبیه شده، کاربران یک سری بررسی ها را برای تایید اعتبار آنها به عنوان هدف انجام می دهند و متعاقباً از آنها خواسته می شود تا یک بایگانی ZIP را که حاوی یک قطره چکان بدافزار است دانلود کنند. این قطره چکان بار نهایی را از یک منبع راه دور بازیابی می کند.

مهاجمان برای تعیین اثربخشی بدافزارهای اولیه مختلفی را آزمایش کردند، از جمله:

• یک قطره چکان جاوا اسکریپت (JS Dropper) برای دانلود و اجرای PE یا DLL طراحی شده است.
• یک بارکننده Excel-DNA که از پروژه منبع باز در نظر گرفته شده برای ایجاد فایل XLL استفاده می کند، که در اینجا برای دانلود و اجرای بدافزار مورد سوء استفاده قرار می گیرد.
• دانلود کننده های VBS (Virtual Basic Script) که قادر به اجرای بدافزار از طریق فایل های vbs. در اسناد Microsoft Office یا فراخوانی فایل های اجرایی خط فرمان هستند.
• دانلود کننده های LNK که از فایل های میانبر مایکروسافت (.lnk) برای دانلود و اجرای بدافزار استفاده می کنند.

در سراسر سپتامبر 2023، بدافزار DarkGate به عنوان محموله نهایی در این حملات عمل کرد، اما متعاقباً توسط PikaBot در اکتبر 2023 جایگزین شد.

PikaBot اقدامات ضد تجزیه و تحلیل گسترده ای دارد

PikaBot که در اوایل سال 2023 معرفی شد، یک بدافزار معاصر است که شامل یک لودر و یک ماژول اصلی است که مجهز به مکانیزم های قوی ضد اشکال زدایی، ضد VM و ضد شبیه سازی است. این بدافزار به‌طور دقیق سیستم‌های آلوده را نمایه می‌کند و داده‌های جمع‌آوری‌شده را به زیرساخت فرماندهی و کنترل (C2) منتقل می‌کند، جایی که منتظر دستورالعمل‌های بیشتر است.

C2 دستوراتی را صادر می کند که بدافزار را به دانلود و اجرای ماژول ها هدایت می کند، که در قالب فایل های DLL یا PE، کدهای پوسته یا دستورات خط فرمان موجود است و تطبیق پذیری آن را به عنوان یک ابزار نشان می دهد.

محققان هشدار می‌دهند که کمپین‌های PikaBot و DarkGate توسط بازیگران تهدید ماهر که مهارت‌هایشان از مهارت‌های فیشرهای معمولی فراتر است، سازماندهی شده‌اند. در نتیجه، از سازمان‌ها خواسته می‌شود تا خود را با تاکتیک‌ها، تکنیک‌ها و رویه‌ها (TTP) مرتبط با این کمپین آشنا کنند.