PikaBot मालवेयर
इन्फोसेक अनुसन्धानकर्ताहरूले पिकाबोट मालवेयर समावेश गर्ने उच्च परिष्कृत फिसिङ अभियान पत्ता लगाएका छन्, यसलाई ककबोट अपरेशनलाई खारेज गरेपछिको सबैभन्दा उन्नत फिसिङ अपरेशनको रूपमा चिन्ह लगाइएको छ। यो धोखाधडी इमेल अभियान सेप्टेम्बर 2023 मा शुरू भयो, FBI को सफल कब्जा र QBot को (Qakbot) पूर्वाधार बन्द पछि।
अन्वेषकहरूका अनुसार, PikaBot अघि, आक्रमण अभियानले मुख्य रूपमा डार्क गेट भनिने खतराको प्रयोग गर्यो। आक्रमणकारीहरूले प्रयोग गरेका चालहरू र प्रविधिहरूले अघिल्लो ककबोट अभियानहरूमा देखिएकाहरूलाई नजिकबाट प्रतिबिम्बित गर्दछ, जसले Qbot खतरा अभिनेताहरूलाई नयाँ मालवेयर बोटनेटहरूमा परिवर्तन गर्ने सुझाव दिन्छ।
Qbot इमेल मार्फत फैलिएको सबैभन्दा व्यापक मालवेयर बोटनेटहरू मध्ये एक थियो। अब, डार्कगेट र पिकाबोट, जसले Qbot सँग मोड्युलर मालवेयर लोडरहरूको रूपमा धेरै सुविधाहरू साझा गर्दछ, उद्यमहरूको लागि महत्त्वपूर्ण खतरा प्रस्तुत गर्दछ। Qbot जस्तै, यी नयाँ मालवेयर लोडरहरू नेटवर्कहरूमा प्रारम्भिक पहुँच प्राप्त गर्न खतरा अभिनेताहरू द्वारा नियोजित हुने अपेक्षा गरिन्छ, सम्भावित रूपमा ransomware, जासूसी र डाटा चोरी आक्रमणहरू निम्त्याउने।
PikaBot फिसिङ आक्रमणहरू मार्फत डेलिभर गरिएको छ
Infosec अनुसन्धानकर्ताहरूले डार्कगेट मालवेयरको प्रचार गर्ने धोखाधडी-सम्बन्धित इमेलहरूमा उल्लेखनीय वृद्धि देखेका छन्, खतरा अभिनेताहरूले अक्टोबर 2023 मा सुरु हुने प्राथमिक पेलोडको रूपमा PikaBot लाई डिप्लोय गर्ने दिशामा सरेका छन्। फिसिङ अभियानले एउटा जवाफको रूपमा इमेल मास्करेडिङ वा चोरी गरिएको छलफलको अगाडि बढेको छ। थ्रेड, प्राप्तकर्ताहरू बीच विश्वास बढाउने उद्देश्यले एक रणनीति।
इम्बेडेड URL मा क्लिक गरेपछि, प्रयोगकर्ताहरूले लक्ष्यको रूपमा आफ्नो वैधता पुष्टि गर्न जाँचहरूको एक श्रृंखलाबाट गुजर्छन्, पछि मालवेयर ड्रपर रहेको ZIP संग्रह डाउनलोड गर्न प्रेरित गरिन्छ। यो ड्रपरले टाढाको स्रोतबाट अन्तिम पेलोड प्राप्त गर्दछ।
आक्रमणकारीहरूले प्रभावकारिता निर्धारण गर्न विभिन्न प्रारम्भिक मालवेयर ड्रपरहरूसँग प्रयोग गरे, जसमा:
- एक JavaScript ड्रपर (JS Dropper) PEs वा DLLs डाउनलोड गर्न र कार्यान्वयन गर्न डिजाइन गरिएको हो।
- एक एक्सेल-डीएनए लोडरले XLL फाइल निर्माणको लागि अभिप्रेरित खुला-स्रोत परियोजनाको लाभ उठाउँदै, यहाँ मालवेयर डाउनलोड गर्न र चलाउनको लागि शोषण गरिएको छ।
- VBS (Virtual Basic Script) डाउनलोडरहरू Microsoft Office कागजातहरूमा .vbs फाइलहरू मार्फत मालवेयर कार्यान्वयन गर्न वा कमाण्ड-लाइन कार्यान्वयनयोग्यहरू बोलाउन सक्षम छन्।
- LNK डाउनलोडरहरू जसले मालवेयर डाउनलोड गर्न र कार्यान्वयन गर्न Microsoft सर्टकट फाइलहरू (.lnk) को दुरुपयोग गर्दछ।
सेप्टेम्बर 2023 मा, डार्कगेट मालवेयरले यी आक्रमणहरूमा अन्तिम पेलोडको रूपमा काम गर्यो, तर पछि यसलाई अक्टोबर 2023 मा PikaBot द्वारा प्रतिस्थापित गरियो।
PikaBot सँग व्यापक विरोधी-विश्लेषण उपायहरू छन्
2023 को प्रारम्भमा प्रस्तुत गरिएको, PikaBot एक समकालीन मालवेयर हो जसमा एक लोडर र कोर मोड्युल समावेश छ, जो बलियो एन्टि-डिबगिङ, एन्टी-VM, र एन्टि-इम्युलेसन मेकानिज्महरूले सुसज्जित छ। यो मालवेयरले सावधानीपूर्वक संक्रमित प्रणालीहरूको प्रोफाइल बनाउँछ र सङ्कलन गरिएका डाटाहरूलाई यसको कमाण्ड र कन्ट्रोल (C2) पूर्वाधारमा पठाउँछ, जहाँ यसले थप निर्देशनहरू पर्खिरहेको छ।
C2 ले मालवेयरलाई DLL वा PE फाइलहरू, शेलकोड, वा कमाण्ड-लाइन आदेशहरूको रूपमा उपलब्ध मोड्युलहरू डाउनलोड र कार्यान्वयन गर्न निर्देशन दिने आदेशहरू जारी गर्दछ, यसको बहुमुखी प्रतिभालाई उपकरणको रूपमा प्रदर्शन गर्दछ।
अनुसन्धानकर्ताहरूले चेतावनी दिन्छन् कि PikaBot र DarkGate अभियानहरू निपुण खतरा अभिनेताहरूद्वारा व्यवस्थित गरिएको हो जसको सीपहरू सामान्य फिशरहरूको भन्दा बढि छन्। फलस्वरूप, संगठनहरूलाई यस अभियानसँग सम्बन्धित रणनीतिहरू, प्रविधिहरू र प्रक्रियाहरू (TTPs) सँग परिचित हुन आग्रह गरिन्छ।
