„PikaBot“ kenkėjiška programa

„Infosec“ tyrėjai aptiko labai sudėtingą sukčiavimo kampaniją, apimančią „PikaBot“ kenkėjišką programą, ir pažymėjo, kad ji yra pažangiausia sukčiavimo operacija nuo „Qakbot“ operacijos išmontavimo. Ši apgaulinga el. pašto kampanija prasidėjo 2023 m. rugsėjo mėn., kai FTB sėkmingai užgrobė ir uždarė QBot (Qakbot) infrastruktūrą.

Tyrėjų teigimu, prieš PikaBot atakos kampanijoje pirmiausia buvo panaudota grėsmė, vadinama „Dark Gate“ . Užpuolikų naudojami gudrybės ir metodai labai atspindi ankstesnėse „Qakbot“ kampanijose matytus metodus, o tai rodo, kad „Qbot“ grėsmės veikėjai pereina prie naujesnių kenkėjiškų programų botnetų.

Qbot buvo vienas iš labiausiai paplitusių kenkėjiškų programų botnetų, platinamų el. Dabar „DarkGate“ ir „PikaBot“, kurie dalijasi daugybe funkcijų su Qbot kaip moduliniais kenkėjiškų programų krovikliais, kelia didelę grėsmę įmonėms. Tikimasi, kad, kaip ir Qbot, šiuos naujus kenkėjiškų programų įkroviklius naudos grėsmės veikėjai, kad gautų pradinę prieigą prie tinklų, o tai gali sukelti išpirkos reikalaujančių programų, šnipinėjimo ir duomenų vagysčių atakas.

„PikaBot“ pristatomas per sukčiavimo atakas

„Infosec“ tyrėjai pastebėjo didelį su sukčiavimu susijusių el. laiškų, skleidžiančių „DarkGate“ kenkėjišką programinę įrangą, padidėjimą, o nuo 2023 m. spalio mėn. grėsmės veikėjai pradėjo naudoti „PikaBot“ kaip pagrindinį naudingą apkrovą. Sukčiavimo kampanija prasideda el. sriegis – taktika, kuria siekiama skatinti gavėjų pasitikėjimą.

Spustelėję įterptąjį URL, naudotojai atlieka daugybę patikrinimų, kad patvirtintų, jog jie yra taikiniai, o vėliau jie raginami atsisiųsti ZIP archyvą su kenkėjiškų programų lašintuvu. Šis lašintuvas nuskaito galutinę naudingąją apkrovą iš nuotolinio šaltinio.

Užpuolikai eksperimentavo su įvairiais pradiniais kenkėjiškų programų šalintuvais, kad nustatytų veiksmingumą, įskaitant:

• „JavaScript“ lašintuvas (JS Dropper) skirtas PE arba DLL atsisiųsti ir vykdyti.
• „Excel-DNA“ įkroviklis, panaudojantis atvirojo kodo projektą, skirtą XLL failams kurti, čia naudojamas kenkėjiškų programų atsisiuntimui ir paleidimui.
• VBS (Virtual Basic Script) atsisiuntimo programos, galinčios paleisti kenkėjiškas programas per .vbs failus Microsoft Office dokumentuose arba iškviesti komandų eilutės vykdomuosius failus.
• LNK parsisiuntimo programos, kurios netinkamai naudoja „Microsoft“ sparčiųjų klavišų failus (.lnk), norėdami atsisiųsti ir vykdyti kenkėjiškas programas.

Visą 2023 m. rugsėjį kenkėjiška programa „DarkGate“ buvo paskutinė šių atakų apkrova, tačiau vėliau 2023 m. spalį ją pakeitė PikaBot.

„PikaBot“ turi plačias antianalizės priemones

2023 m. pradžioje pristatyta „PikaBot“ yra šiuolaikinė kenkėjiška programa, kurią sudaro įkroviklis ir pagrindinis modulis, aprūpintas patikimais apsaugos nuo derinimo, anti-VM ir antiemuliacijos mechanizmais. Ši kenkėjiška programa kruopščiai profiliuoja užkrėstas sistemas ir perduoda surinktus duomenis į savo valdymo ir valdymo (C2) infrastruktūrą, kur laukia tolesnių nurodymų.

C2 išduoda komandas, nukreipiančias kenkėjišką programinę įrangą atsisiųsti ir vykdyti modulius, pasiekiamus DLL arba PE failų, apvalkalo kodo arba komandų eilutės komandų pavidalu, parodydamas jos universalumą kaip įrankį.

Tyrėjai perspėja, kad „PikaBot“ ir „DarkGate“ kampanijas rengia patyrę grėsmės veikėjai, kurių įgūdžiai pranoksta tipiškų sukčiavimo asmenų įgūdžius. Todėl organizacijos raginamos susipažinti su taktika, metodais ir procedūromis (TTP), susijusiomis su šia kampanija.