תוכנות זדוניות של PikaBot
חוקרי Infosec זיהו מסע דיוג מתוחכם ביותר המשלב את התוכנה הזדונית PikaBot, וסימנו אותה כפעולת הדיוג המתקדמת ביותר מאז פירוק פעולת Qakbot . מסע הדוא"ל הונאה הזה החל בספטמבר 2023, לאחר תפיסה מוצלחת של ה-FBI והשבתה של תשתית QBot (Qakbot).
לפי החוקרים, לפני PikaBot, מסע התקיפה השתמש בעיקר באיום שנקרא Dark Gate . הטריקים והטכניקות שהפעילו התוקפים משקפים מקרוב את אלה שנראו בקמפיינים קודמים של Qakbot, מה שמצביע על מעבר של שחקני האיומים של Qbot לרשתות תוכנות זדוניות חדשות יותר.
Qbot הייתה בין רשתות הזדוניות הנפוצות ביותר שהופצו באמצעות דואר אלקטרוני. כעת, DarkGate ו-PikaBot, אשר חולקים תכונות רבות עם Qbot כמטעני תוכנות זדוניות מודולריות, מהוות איום משמעותי על ארגונים. בדומה ל-Qbot, מטעני תוכנות זדוניות חדשות אלו צפויות להיות מועסקות על ידי גורמי איומים כדי לקבל גישה ראשונית לרשתות, מה שעלול להוביל להתקפות של תוכנות כופר, ריגול וגניבת נתונים.
PikaBot מועבר באמצעות התקפות דיוג
חוקרי Infosec הבחינו בעלייה משמעותית במיילים הקשורים להונאה המפיצים את תוכנת הזדונית DarkGate, כאשר גורמי איומים עברו לפריסת PikaBot כמטען העיקרי החל מאוקטובר 2023. קמפיין הדיוג מתחיל עם אימייל שמתחזה לתשובה או קדימה של דיון גנוז thread, טקטיקה שמטרתה לטפח אמון בין הנמענים.
לאחר לחיצה על כתובת ה-URL המשובצת, משתמשים עוברים סדרה של בדיקות כדי לאשר את תקפותם כמטרות, ולאחר מכן מתבקשים להוריד ארכיון ZIP המכיל מטפטפת תוכנות זדוניות. הטפטפת הזו מאחזרת את המטען הסופי ממשאב מרוחק.
התוקפים ערכו ניסויים עם מטילות שונות של תוכנות זדוניות כדי לקבוע את היעילות, כולל:
- טפטפת JavaScript (JS Dropper) מיועדת להורדה וביצוע של PEs או DLLs.
- טוען Excel-DNA הממנף פרויקט קוד פתוח המיועד ליצירת קבצי XLL, מנוצל כאן להורדה והרצה של תוכנות זדוניות.
- הורדות VBS (Virtual Basic Script) המסוגלים להפעיל תוכנות זדוניות באמצעות קבצי .vbs במסמכי Microsoft Office או להפעיל קובצי הפעלה של שורת הפקודה.
- הורדות LNK שמשתמשות לרעה בקבצי קיצורי דרך של Microsoft (.lnk) כדי להוריד ולהפעיל תוכנות זדוניות.
במהלך ספטמבר 2023, התוכנה הזדונית DarkGate שימשה כמטען הסופי בהתקפות אלו, אך לאחר מכן היא הוחלפה על ידי PikaBot באוקטובר 2023.
ל-PikaBot יש אמצעי אנטי-אנליזה נרחבים
PikaBot, שהוצג בתחילת 2023, הוא תוכנה זדונית עכשווית הכוללת מטעין ומודול ליבה, המצויד במנגנוני אנטי-ניפוי באגים, אנטי-VM ואנטי-אמולציה חזקים. תוכנה זדונית זו מקפידה על פרופיל מערכות נגועות ומשדרת את הנתונים שנאספו לתשתית השליטה והבקרה שלה (C2), שם היא ממתינה להנחיות נוספות.
ה-C2 מנפיק פקודות המכוונות את התוכנה הזדונית להוריד ולהפעיל מודולים, הזמינים בצורה של קבצי DLL או PE, shellcode או פקודות שורת פקודה, המציגות את הרבגוניות שלו ככלי.
חוקרים מזהירים כי הקמפיינים של PikaBot ו-DarkGate מתוזמרים על ידי שחקני איום מיומנים שהכישורים שלהם עולים על אלה של פישרים טיפוסיים. כתוצאה מכך, ארגונים מתבקשים להכיר את הטקטיקות, הטכניקות והנהלים (TTPs) המתואמים לקמפיין זה.
