PikaBot skadelig programvare

Infosec-forskere har oppdaget en svært sofistikert phishing-kampanje som inkorporerer PikaBot malware, og markerer den som den mest avanserte phishing-operasjonen siden demonteringen av Qakbot -operasjonen. Denne uredelige e-postkampanjen startet i september 2023, etter FBIs vellykkede beslagleggelse og nedleggelse av QBots (Qakbot) infrastruktur.

Ifølge forskere, før PikaBot, brukte angrepskampanjen først og fremst en trussel kalt Dark Gate . Triksene og teknikkene brukt av angriperne gjenspeiler tett de som ble sett i tidligere Qakbot-kampanjer, noe som antyder en overgang av Qbot-trusselsaktører til nyere malware-botnett.

Qbot var blant de mest utbredte malware-botnettene som ble spredt via e-post. Nå utgjør DarkGate og PikaBot, som deler en rekke funksjoner med Qbot som modulære malware-lastere, en betydelig trussel for bedrifter. I likhet med Qbot forventes disse nye skadevarelasterne å bli brukt av trusselaktører for å få innledende tilgang til nettverk, noe som potensielt kan føre til løsepengeprogramvare, spionasje og datatyveriangrep.

PikaBot leveres gjennom phishing-angrep

Infosec-forskere har observert en betydelig økning i svindelrelaterte e-poster som sprer DarkGate malware, med trusselaktører som går over til å distribuere PikaBot som den primære nyttelasten fra oktober 2023. Phishing-kampanjen starter med en e-post som maskerer seg som et svar eller videre til en stjålet diskusjon. tråd, en taktikk rettet mot å skape tillit blant mottakere.

Ved å klikke på den innebygde URL-en, gjennomgår brukere en rekke kontroller for å bekrefte deres gyldighet som mål, og blir deretter bedt om å laste ned et ZIP-arkiv som inneholder en malware-dropper. Denne dropperen henter den endelige nyttelasten fra en ekstern ressurs.

Angriperne eksperimenterte med forskjellige innledende malware-droppere for å fastslå effektiviteten, inkludert:

• En JavaScript-dropper (JS Dropper) er designet for å laste ned og kjøre PE-er eller DLL-er.
• En Excel-DNA-laster som utnytter et åpen kildekode-prosjekt beregnet for XLL-filoppretting, utnyttet her for å laste ned og kjøre skadelig programvare.
• VBS (Virtual Basic Script)-nedlastere som er i stand til å kjøre skadelig programvare gjennom .vbs-filer i Microsoft Office-dokumenter eller påkalle kjørbare kommandolinjefiler.
• LNK-nedlastere som misbruker Microsoft-snarveisfiler (.lnk) for å laste ned og kjøre skadelig programvare.

Gjennom hele september 2023 fungerte DarkGate malware som den endelige nyttelasten i disse angrepene, men den ble senere erstattet av PikaBot i oktober 2023.

PikaBot har omfattende antianalysetiltak

PikaBot ble introdusert tidlig i 2023, og er en moderne skadelig programvare som består av en laster og en kjernemodul, utstyrt med robuste anti-feilsøkings-, anti-VM- og anti-emuleringsmekanismer. Denne skadevaren profilerer infiserte systemer omhyggelig og overfører de innsamlede dataene til sin kommando- og kontrollinfrastruktur (C2), hvor den venter på ytterligere instruksjoner.

C2 utsteder kommandoer som leder skadelig programvare til å laste ned og kjøre moduler, tilgjengelig i form av DLL- eller PE-filer, shellcode eller kommandolinjekommandoer, som viser allsidigheten som et verktøy.

Forskere advarer om at PikaBot- og DarkGate-kampanjene er orkestrert av dyktige trusselaktører hvis ferdigheter overgår de til typiske phishere. Organisasjoner oppfordres derfor til å gjøre seg kjent med taktikken, teknikkene og prosedyrene (TTP-er) knyttet til denne kampanjen.