Malware PikaBot

I ricercatori di Infosec hanno rilevato una campagna di phishing altamente sofisticata che incorpora il malware PikaBot, contrassegnandola come l'operazione di phishing più avanzata dallo smantellamento dell'operazione Qakbot . Questa campagna di posta elettronica fraudolenta è iniziata nel settembre 2023, in seguito al sequestro e alla chiusura dell'infrastruttura di QBot (Qakbot) da parte dell'FBI.

Secondo i ricercatori, prima di PikaBot, la campagna di attacco utilizzava principalmente una minaccia chiamata Dark Gate . I trucchi e le tecniche impiegati dagli aggressori rispecchiano da vicino quelli visti nelle precedenti campagne Qakbot, suggerendo una transizione degli autori delle minacce Qbot verso botnet malware più recenti.

Qbot è stata tra le botnet malware più diffuse diffuse via email. Ora, DarkGate e PikaBot, che condividono numerose funzionalità con Qbot come caricatori di malware modulari, rappresentano una minaccia significativa per le aziende. Similmente a Qbot, si prevede che questi nuovi caricatori di malware verranno utilizzati dagli autori delle minacce per ottenere l’accesso iniziale alle reti, portando potenzialmente ad attacchi di ransomware, spionaggio e furto di dati.

PikaBot viene consegnato tramite attacchi di phishing

I ricercatori di Infosec hanno osservato un aumento significativo delle e-mail correlate a frodi che propagano il malware DarkGate, con gli autori delle minacce che passeranno all'implementazione di PikaBot come payload principale a partire da ottobre 2023. La campagna di phishing inizia con un'e-mail mascherata da risposta o inoltro di una discussione rubata thread, una tattica volta a favorire la fiducia tra i destinatari.

Facendo clic sull'URL incorporato, gli utenti vengono sottoposti a una serie di controlli per confermare la loro validità come obiettivi, e successivamente viene loro richiesto di scaricare un archivio ZIP che contiene un dropper di malware. Questo dropper recupera il carico utile finale da una risorsa remota.

Gli aggressori hanno sperimentato vari dropper di malware iniziali per determinarne l'efficacia, tra cui:

• Un dropper JavaScript (JS Dropper) è progettato per scaricare ed eseguire PE o DLL.
• Un caricatore Excel-DNA che sfrutta un progetto open source destinato alla creazione di file XLL, qui sfruttato per scaricare ed eseguire malware.
• Downloader VBS (Virtual Basic Script) in grado di eseguire malware tramite file .vbs nei documenti di Microsoft Office o richiamare eseguibili da riga di comando.
• Downloader LNK che utilizzano in modo improprio i file di collegamento Microsoft (.lnk) per scaricare ed eseguire malware.

Per tutto settembre 2023, il malware DarkGate è servito come carico utile finale in questi attacchi, ma è stato successivamente sostituito da PikaBot nell’ottobre 2023.

PikaBot dispone di ampie misure anti-analisi

Introdotto all'inizio del 2023, PikaBot è un malware contemporaneo composto da un caricatore e un modulo principale, dotato di robusti meccanismi anti-debug, anti-VM e anti-emulazione. Questo malware profila meticolosamente i sistemi infetti e trasmette i dati raccolti alla sua infrastruttura di comando e controllo (C2), dove attende ulteriori istruzioni.

Il C2 emette comandi che indirizzano il malware a scaricare ed eseguire moduli, disponibili sotto forma di file DLL o PE, shellcode o comandi da riga di comando, dimostrando la sua versatilità come strumento.

I ricercatori avvertono che le campagne PikaBot e DarkGate sono orchestrate da abili attori delle minacce le cui abilità superano quelle dei tipici phisher. Di conseguenza, le organizzazioni sono invitate a familiarizzare con le tattiche, tecniche e procedure (TTP) correlate a questa campagna.