PikaBot ļaunprātīga programmatūra

Infosec pētnieki ir atklājuši ļoti sarežģītu pikšķerēšanas kampaņu, kurā iekļauta PikaBot ļaunprogrammatūra, atzīmējot to kā vismodernāko pikšķerēšanas darbību kopš Qakbot darbības demontāžas. Šī krāpnieciskā e-pasta kampaņa sākās 2023. gada septembrī pēc tam, kad FIB veiksmīgi konfiscēja un apturēja QBot (Qakbot) infrastruktūru.

Pēc pētnieku domām, pirms PikaBot uzbrukuma kampaņa galvenokārt izmantoja draudus ar nosaukumu Dark Gate . Uzbrucēju izmantotie triki un paņēmieni cieši atspoguļo iepriekšējās Qakbot kampaņās redzētos, liekot domāt par Qbot apdraudējuma dalībnieku pāreju uz jaunākiem ļaunprātīgas programmatūras robottīkliem.

Qbot bija viens no visizplatītākajiem ļaunprātīgas programmatūras robottīkliem, kas tika izplatīti pa e-pastu. Tagad DarkGate un PikaBot, kam Qbot ir kopīgas daudzas funkcijas kā moduļu ļaunprogrammatūras ielādētāji, rada ievērojamus draudus uzņēmumiem. Līdzīgi kā Qbot, paredzams, ka šos jaunos ļaunprogrammatūras ielādētājus izmantos apdraudējuma dalībnieki, lai iegūtu sākotnējo piekļuvi tīkliem, kas, iespējams, var izraisīt izspiedējvīrusu, spiegošanas un datu zādzību uzbrukumus.

PikaBot tiek piegādāts, izmantojot pikšķerēšanas uzbrukumus

Infosec pētnieki ir novērojuši ievērojamu ar krāpšanu saistīto e-pasta ziņojumu skaita pieaugumu, kas izplata DarkGate ļaunprogrammatūru, un draudu dalībnieki pāriet uz PikaBot kā primārās lietderīgās slodzes izvietošanu, sākot ar 2023. gada oktobri. Pikšķerēšanas kampaņa sākas ar e-pasta ziņojumu, kas tiek maskēts kā atbilde vai pārsūtīts uz aizskartu diskusiju. pavediens, taktika, kuras mērķis ir veicināt uzticēšanos saņēmēju vidū.

Noklikšķinot uz iegultā URL, lietotājiem tiek veikta virkne pārbaužu, lai apstiprinātu savu kā mērķa derīgumu, un pēc tam viņiem tiek piedāvāts lejupielādēt ZIP arhīvu, kurā atrodas ļaunprātīgas programmatūras pilinātājs. Šis pilinātājs izgūst pēdējo lietderīgo slodzi no attālā resursa.

Uzbrucēji eksperimentēja ar dažādiem sākotnējiem ļaunprātīgas programmatūras izvadītājiem, lai noteiktu efektivitāti, tostarp:

• JavaScript pilinātājs (JS Dropper) ir paredzēts PE vai DLL lejupielādei un izpildei.
• Excel DNS ielādētājs, kas izmanto atvērtā koda projektu, kas paredzēts XLL failu izveidei un kas šeit tiek izmantots ļaunprātīgas programmatūras lejupielādei un palaišanai.
• VBS (Virtual Basic Script) lejupielādētāji, kas spēj izpildīt ļaunprātīgu programmatūru, izmantojot .vbs failus Microsoft Office dokumentos vai izsaukt komandrindas izpildāmos failus.
• LNK lejupielādētāji, kas ļaunprātīgi izmanto Microsoft saīsnes failus (.lnk), lai lejupielādētu un izpildītu ļaunprātīgu programmatūru.

Visā 2023. gada septembrī ļaunprogrammatūra DarkGate kalpoja kā pēdējā slodze šajos uzbrukumos, taču to pēc tam 2023. gada oktobrī aizstāja ar PikaBot.

PikaBot piedāvā plašus pretanalīzes pasākumus

PikaBot, kas tika ieviesta 2023. gada sākumā, ir mūsdienīga ļaunprogrammatūra, kas ietver ielādētāju un galveno moduli, kas aprīkots ar izturīgiem pretatkļūdošanas, anti-VM un anti-emulācijas mehānismiem. Šī ļaunprogrammatūra rūpīgi profilē inficētās sistēmas un nosūta savāktos datus uz tās vadības un kontroles (C2) infrastruktūru, kur tā gaida turpmākus norādījumus.

C2 izdod komandas, kas liek ļaunprogrammatūrai lejupielādēt un izpildīt moduļus, kas ir pieejami DLL vai PE failu, čaulas koda vai komandrindas komandu veidā, demonstrējot tās kā rīka daudzpusību.

Pētnieki brīdina, ka PikaBot un DarkGate kampaņas organizē lietpratīgi draudu dalībnieki, kuru prasmes pārspēj tipisku pikšķerētāju prasmes. Līdz ar to organizācijas tiek aicinātas iepazīties ar taktiku, paņēmieniem un procedūrām (TTP), kas saistītas ar šo kampaņu.