PikaBot-haittaohjelma

Infosec-tutkijat ovat havainneet pitkälle kehitetyn phishing-kampanjan, joka sisältää PikaBot-haittaohjelman, ja se on merkinnyt sen edistyneimmäksi tietojenkalasteluoperaatioksi Qakbot -toiminnan purkamisen jälkeen. Tämä petollinen sähköpostikampanja alkoi syyskuussa 2023 sen jälkeen, kun FBI onnistui takavarikoimaan ja sulkemaan QBotin (Qakbot) infrastruktuurin.

Tutkijoiden mukaan ennen PikaBotia hyökkäyskampanjassa hyödynnettiin ensisijaisesti Dark Gate -nimistä uhkaa. Hyökkääjien käyttämät temput ja tekniikat heijastavat läheisesti aiemmissa Qakbot-kampanjoissa nähtyjä, mikä viittaa Qbotin uhkatoimijoiden siirtymiseen uudempiin haittaohjelmabottiverkkoihin.

Qbot oli yksi laajimmin levinneistä haittaohjelmabottiverkoista, joita levitettiin sähköpostitse. Nyt DarkGate ja PikaBot, jotka jakavat lukuisia ominaisuuksia Qbotin kanssa modulaarisina haittaohjelmien lataajana, muodostavat merkittävän uhan yrityksille. Qbotin tapaan näiden uusien haittaohjelmien lataajien odotetaan käyttävän uhkatekijöitä päästäkseen alkuvaiheessa verkkoihin, mikä saattaa johtaa kiristysohjelmiin, vakoiluihin ja tietovarkaushyökkäuksiin.

PikaBot toimitetaan tietojenkalasteluhyökkäysten kautta

Infosec-tutkijat ovat havainneet DarkGate-haittaohjelmia levittävien petokseen liittyvien sähköpostien merkittävän kasvun, ja uhkatekijät ovat siirtyneet PikaBotin käyttöön ensisijaisena hyötykuormana lokakuusta 2023 alkaen. Tietojenkalastelukampanja alkaa sähköpostilla, joka naamioituu vastaukseksi tai ryöstettyyn keskusteluun. lanka, taktiikka, jonka tarkoituksena on edistää luottamusta vastaanottajien keskuudessa.

Kun käyttäjät napsauttavat upotettua URL-osoitetta, he käyvät läpi useita tarkistuksia varmistaakseen, että he ovat kohteena, minkä jälkeen heitä kehotetaan lataamaan ZIP-arkisto, jossa on haittaohjelmien tiputuslaite. Tämä dropperi hakee lopullisen hyötykuorman etäresurssista.

Hyökkääjät kokeilivat erilaisia alkuperäisiä haittaohjelmien poistajia tehokkuuden määrittämiseksi, mukaan lukien:

• JavaScript dropperi (JS Dropper) on suunniteltu PE- tai DLL-tiedostojen lataamiseen ja suorittamiseen.
• Excel-DNA-latausohjelma, joka hyödyntää avoimen lähdekoodin projektia, joka on tarkoitettu XLL-tiedostojen luomiseen ja jota hyödynnetään täällä haittaohjelmien lataamiseen ja suorittamiseen.
• VBS (Virtual Basic Script) -latausohjelmat, jotka pystyvät suorittamaan haittaohjelmia Microsoft Office -asiakirjojen .vbs-tiedostojen kautta tai kutsumaan komentorivin suoritettavia tiedostoja.
• LNK-latausohjelmat, jotka käyttävät väärin Microsoftin pikakuvaketiedostoja (.lnk) haittaohjelmien lataamiseen ja suorittamiseen.

Koko syyskuun 2023 ajan DarkGate-haittaohjelma toimi viimeisenä hyötykuormana näissä hyökkäyksissä, mutta se korvattiin myöhemmin PikaBotilla lokakuussa 2023.

PikaBotilla on laajat analyysin vastaiset toimenpiteet

Vuoden 2023 alussa esitelty PikaBot on nykyaikainen haittaohjelma, joka sisältää latauslaitteen ja ydinmoduulin, joka on varustettu vankilla virheenkorjauksen, virtuaalikoneen ja emuloinnin estomekanismilla. Tämä haittaohjelma profiloi huolellisesti tartunnan saaneet järjestelmät ja välittää kerätyt tiedot komento- ja ohjausinfrastruktuuriinsa (C2), jossa se odottaa lisäohjeita.

C2 antaa komentoja, jotka ohjaavat haittaohjelman lataamaan ja suorittamaan moduuleita, jotka ovat saatavilla DLL- tai PE-tiedostoina, shell-koodina tai komentorivikomentoina, mikä osoittaa sen monipuolisuuden työkaluna.

Tutkijat varoittavat, että PikaBot- ja DarkGate-kampanjoita ohjaavat taitavat uhkatoimijat, joiden taidot ylittävät tyypillisten tietojenkalastelijat. Siksi järjestöjä kehotetaan tutustumaan tähän kampanjaan liittyviin taktiikoihin, tekniikoihin ja menettelyihin (TTP).