PikaBot Malware

Az Infosec kutatói egy rendkívül kifinomult adathalász kampányt észleltek, amely magában foglalja a PikaBot kártevőt, és ez a legfejlettebb adathalász művelet a Qakbot művelet leszerelése óta. Ez a csaló e-mail kampány 2023 szeptemberében kezdődött, miután az FBI sikeresen lefoglalta és leállította a QBot (Qakbot) infrastruktúráját.

A kutatók szerint a PikaBot előtt a támadási kampány elsősorban a Dark Gate nevű fenyegetést használta. A támadók által alkalmazott trükkök és technikák szorosan tükrözik a korábbi Qakbot kampányokban látottakat, ami arra utal, hogy a Qbot fenyegető szereplői újabb rosszindulatú botnetekre váltanak át.

A Qbot az e-mailben terjesztett legelterjedtebb rosszindulatú botnetek közé tartozott. Jelenleg a DarkGate és a PikaBot, amelyek számos funkciót osztanak meg a Qbot-tal , mint moduláris kártevő-betöltőkkel, jelentős veszélyt jelentenek a vállalatok számára. A Qbothoz hasonlóan ezeket az új rosszindulatú programbetöltőket várhatóan a fenyegetés szereplői alkalmazzák a hálózatokhoz való kezdeti hozzáféréshez, ami zsarolóvírus-, kém- és adatlopási támadásokhoz vezethet.

A PikaBot adathalász támadásokon keresztül érkezik

Az Infosec kutatói a DarkGate kártevőt terjesztő, csalással kapcsolatos e-mailek számának jelentős megugrását figyelték meg, és a fenyegetés szereplői 2023 októberétől a PikaBot alkalmazására tértek át elsődleges hasznos adatként. Az adathalász kampány egy e-maillel kezdődik, amely egy elhalt vita válaszának vagy továbbításának álcázza magát. szál, egy olyan taktika, amelynek célja a címzettek közötti bizalom erősítése.

A beágyazott URL-re kattintva a felhasználók egy sor ellenőrzésen esnek át, hogy megerősítsék célként való érvényesülésüket, majd felkérik őket, hogy töltsenek le egy rosszindulatú programokat tartalmazó ZIP archívumot. Ez a dropper lekéri a végső hasznos terhet egy távoli erőforrásból.

A támadók különféle kezdeti rosszindulatú programokkal kísérleteztek a hatékonyság meghatározására, többek között:

• A JavaScript dropper (JS Dropper) PE-k vagy DLL-ek letöltésére és végrehajtására szolgál.
• Egy Excel-DNA betöltő, amely egy nyílt forráskódú projektet használ XLL-fájlok létrehozására, és itt rosszindulatú programok letöltésére és futtatására szolgál.
• VBS (Virtual Basic Script) letöltők, amelyek képesek kártevők futtatására a Microsoft Office dokumentumokban található .vbs fájlokon keresztül, vagy parancssori végrehajtható fájlok meghívására.
• LNK letöltők, amelyek visszaélnek a Microsoft parancsikon fájlokkal (.lnk) rosszindulatú programok letöltéséhez és futtatásához.

2023 szeptemberében a DarkGate rosszindulatú program szolgált ezekben a támadásokban az utolsó hasznos teherként, de ezt később a PikaBot váltotta fel 2023 októberében.

A PikaBot kiterjedt elemzésellenes intézkedésekkel rendelkezik

A 2023 elején bemutatott PikaBot egy kortárs rosszindulatú program, amely egy betöltőt és egy központi modult tartalmaz, amely robusztus hibakeresés-, virtuálisgép- és emuláció-ellenes mechanizmusokkal van felszerelve. Ez a rosszindulatú program aprólékosan profilozza a fertőzött rendszereket, és az összegyűjtött adatokat továbbítja a parancsnoki és vezérlő (C2) infrastruktúrájába, ahol további utasításokat vár.

A C2 olyan parancsokat ad ki, amelyek modulok letöltésére és végrehajtására irányítják a rosszindulatú programokat, amelyek DLL vagy PE fájlok, shellkód vagy parancssori parancsok formájában állnak rendelkezésre, bemutatva eszközként való sokoldalúságát.

A kutatók felhívják a figyelmet arra, hogy a PikaBot és a DarkGate kampányokat olyan ügyes fenyegetés szereplők irányítják, akiknek képességei felülmúlják a tipikus adathalászokéit. Következésképpen a szervezeteket arra kérik, hogy ismerkedjenek meg a kampányhoz kapcsolódó taktikákkal, technikákkal és eljárásokkal (TTP).