Perisian Hasad PikaBot

Penyelidik Infosec telah mengesan kempen pancingan data yang sangat canggih yang menggabungkan perisian hasad PikaBot, menandakannya sebagai operasi pancingan data paling maju sejak merungkai operasi Qakbot . Kempen e-mel penipuan ini bermula pada September 2023, berikutan kejayaan FBI merampas dan menutup infrastruktur QBot (Qakbot).

Menurut penyelidik, sebelum PikaBot, kempen serangan itu menggunakan ancaman yang dipanggil Dark Gate . Helah dan teknik yang digunakan oleh penyerang mencerminkan rapat yang dilihat dalam kempen Qakbot sebelum ini, mencadangkan peralihan pelakon ancaman Qbot kepada botnet perisian hasad yang lebih baharu.

Qbot adalah antara botnet malware paling meluas yang disebarkan melalui e-mel. Kini, DarkGate dan PikaBot, yang berkongsi banyak ciri dengan Qbot sebagai pemuat perisian hasad modular, memberikan ancaman besar kepada perusahaan. Sama seperti Qbot, pemuat perisian hasad baharu ini dijangka akan digunakan oleh pelaku ancaman untuk mendapatkan akses awal kepada rangkaian, yang berpotensi membawa kepada serangan perisian tebusan, pengintipan dan kecurian data.

PikaBot Dihantar melalui Serangan Phishing

Penyelidik Infosec telah melihat lonjakan ketara dalam e-mel berkaitan penipuan yang menyebarkan perisian hasad DarkGate, dengan pelaku ancaman beralih kepada menggunakan PikaBot sebagai muatan utama bermula pada Oktober 2023. Kempen pancingan data bermula dengan e-mel yang menyamar sebagai balasan atau memajukan perbincangan yang dicuri benang, taktik yang bertujuan untuk memupuk kepercayaan di kalangan penerima.

Setelah mengklik URL terbenam, pengguna menjalani satu siri semakan untuk mengesahkan kesahihan mereka sebagai sasaran, seterusnya digesa untuk memuat turun arkib ZIP yang menempatkan penitis perisian hasad. Penitis ini mendapatkan semula muatan akhir daripada sumber jauh.

Penyerang bereksperimen dengan pelbagai penitis malware awal untuk menentukan keberkesanan, termasuk:

• Penitis JavaScript (JS Dropper) direka untuk memuat turun dan melaksanakan PE atau DLL.
• Pemuat Excel-DNA yang memanfaatkan projek sumber terbuka yang bertujuan untuk penciptaan fail XLL, dieksploitasi di sini untuk memuat turun dan menjalankan perisian hasad.
• Pemuat turun VBS (Skrip Asas Maya) yang mampu melaksanakan perisian hasad melalui fail .vbs dalam dokumen Microsoft Office atau menggunakan boleh laku baris perintah.
• Pemuat turun LNK yang menyalahgunakan fail pintasan Microsoft (.lnk) untuk memuat turun dan melaksanakan perisian hasad.

Sepanjang September 2023, perisian hasad DarkGate berfungsi sebagai muatan terakhir dalam serangan ini, tetapi ia kemudiannya digantikan oleh PikaBot pada Oktober 2023.

PikaBot Mempunyai Langkah Anti-Analisis yang Luas

Diperkenalkan pada awal tahun 2023, PikaBot ialah perisian hasad kontemporari yang terdiri daripada pemuat dan modul teras, dilengkapi dengan mekanisme anti-debug, anti-VM dan anti-emulasi yang teguh. Perisian hasad ini memprofilkan sistem yang dijangkiti dengan teliti dan menghantar data yang dikumpul ke infrastruktur arahan dan kawalannya (C2), di mana ia menunggu arahan selanjutnya.

C2 mengeluarkan arahan yang mengarahkan perisian hasad untuk memuat turun dan melaksanakan modul, tersedia dalam bentuk fail DLL atau PE, kod shell atau arahan baris arahan, yang mempamerkan kepelbagaiannya sebagai alat.

Penyelidik memberi amaran bahawa kempen PikaBot dan DarkGate didalangi oleh pelakon ancaman mahir yang kemahirannya mengatasi phisher biasa. Oleh itu, organisasi digesa untuk membiasakan diri dengan Taktik, Teknik dan Prosedur (TTP) yang dikaitkan dengan kempen ini.