PikaBot zlonamjerni softver

Istraživači tvrtke Infosec otkrili su vrlo sofisticiranu phishing kampanju koja uključuje zlonamjerni softver PikaBot, označivši je kao najnapredniju operaciju phishinga od ukidanja operacije Qakbot . Ova lažna kampanja putem e-pošte započela je u rujnu 2023., nakon što je FBI uspješno zaplijenio i zatvorio QBot (Qakbot) infrastrukturu.

Prema istraživačima, prije PikaBota, kampanja napada prvenstveno je koristila prijetnju pod nazivom Dark Gate . Trikovi i tehnike koje koriste napadači blisko odražavaju one viđene u prethodnim Qakbot kampanjama, što sugerira prijelaz Qbot aktera prijetnje na novije malware botnete.

Qbot je bio među najrasprostranjenijim malware botnet-ovima koji su se širili putem e-pošte. Sada DarkGate i PikaBot, koji dijele brojne značajke s Qbotom kao modularni učitavači zlonamjernog softvera, predstavljaju značajnu prijetnju poduzećima. Slično Qbotu, očekuje se da će ove nove učitavače zlonamjernog softvera koristiti akteri prijetnji kako bi dobili početni pristup mrežama, što bi potencijalno moglo dovesti do napada ransomwarea, špijunaže i krađe podataka.

PikaBot se isporučuje putem phishing napada

Istraživači tvrtke Infosec primijetili su značajan porast e-poruka povezanih s prijevarama koje šire zlonamjerni softver DarkGate, a akteri prijetnji prešli su na implementaciju PikaBota kao primarnog korisnog opterećenja počevši od listopada 2023. Kampanja krađe identiteta započinje e-poštom maskiranom kao odgovor ili prosljeđivanje ukradene rasprave niti, taktika čiji je cilj poticanje povjerenja među primateljima.

Nakon što kliknu na ugrađeni URL, korisnici prolaze niz provjera kako bi potvrdili svoju valjanost kao mete, nakon čega se od njih traži da preuzmu ZIP arhivu koja sadrži dropper zlonamjernog softvera. Ovaj dropper dohvaća konačni korisni teret s udaljenog resursa.

Napadači su eksperimentirali s različitim početnim programima za otkrivanje zlonamjernog softvera kako bi odredili učinkovitost, uključujući:

• JavaScript dropper (JS Dropper) dizajniran je za preuzimanje i izvršavanje PE-ova ili DLL-ova.
• Program za učitavanje Excel-DNA koji koristi projekt otvorenog koda namijenjen stvaranju XLL datoteka, koji se ovdje iskorištava za preuzimanje i pokretanje zlonamjernog softvera.
• Programi za preuzimanje VBS (Virtual Basic Script) sposobni pokretati zlonamjerni softver putem .vbs datoteka u dokumentima Microsoft Officea ili pozivati izvršne datoteke naredbenog retka.
• LNK preuzimači koji zlorabe Microsoftove datoteke prečaca (.lnk) za preuzimanje i pokretanje zlonamjernog softvera.

Tijekom rujna 2023. zlonamjerni softver DarkGate služio je kao posljednji korisni teret u ovim napadima, ali ga je naknadno zamijenio PikaBot u listopadu 2023.

PikaBot ima opsežne mjere protiv analize

Predstavljen početkom 2023., PikaBot je suvremeni zlonamjerni softver koji se sastoji od učitavača i jezgrenog modula, opremljen robusnim mehanizmima za uklanjanje pogrešaka, VM i anti-emulaciju. Ovaj malware precizno profilira zaražene sustave i prenosi prikupljene podatke svojoj infrastrukturi za upravljanje i kontrolu (C2), gdje čeka daljnje upute.

C2 izdaje naredbe koje usmjeravaju zlonamjerni softver na preuzimanje i izvođenje modula, dostupnih u obliku DLL ili PE datoteka, shellcodea ili naredbi iz naredbenog retka, prikazujući njegovu svestranost kao alata.

Istraživači upozoravaju da su kampanje PikaBot i DarkGate orkestrirane od strane vještih aktera prijetnji čije vještine nadmašuju one tipičnih phishera. Sukladno tome, organizacije se pozivaju da se upoznaju s taktikama, tehnikama i postupcima (TTP) povezanima s ovom kampanjom.