PikaBot-malware

Onderzoekers van Infosec hebben een zeer geavanceerde phishing-campagne ontdekt waarin de PikaBot-malware is verwerkt, waardoor deze wordt aangemerkt als de meest geavanceerde phishing-operatie sinds de ontmanteling van de Qakbot- operatie. Deze frauduleuze e-mailcampagne begon in september 2023, na de succesvolle inbeslagname en sluiting van de infrastructuur van QBot (Qakbot) door de FBI.

Volgens onderzoekers maakte de aanvalscampagne vóór PikaBot voornamelijk gebruik van een dreiging genaamd Dark Gate . De trucs en technieken die door de aanvallers worden gebruikt, komen sterk overeen met die van eerdere Qakbot-campagnes, wat duidt op een overgang van Qbot-bedreigingsactoren naar nieuwere malware-botnets.

Qbot was een van de meest wijdverspreide malware-botnets die via e-mail werden verspreid. Nu vormen DarkGate en PikaBot, die talloze functies delen met Qbot als modulaire malware-laders, een aanzienlijke bedreiging voor ondernemingen. Net als bij Qbot wordt verwacht dat deze nieuwe malware-laders door bedreigingsactoren worden gebruikt om initiële toegang tot netwerken te verkrijgen, wat mogelijk kan leiden tot aanvallen met ransomware, spionage en gegevensdiefstal.

PikaBot wordt geleverd via phishing-aanvallen

Onderzoekers van Infosec hebben een aanzienlijke toename waargenomen in het aantal fraudegerelateerde e-mails waarin de DarkGate-malware wordt verspreid, waarbij bedreigingsactoren vanaf oktober 2023 overstappen op het inzetten van PikaBot als primaire payload. De phishing-campagne begint met een e-mail die zich voordoet als antwoord of doormelding van een gestolen discussie. thread, een tactiek gericht op het bevorderen van vertrouwen tussen de ontvangers.

Door op de ingesloten URL te klikken, ondergaan gebruikers een reeks controles om hun geldigheid als doelwit te bevestigen, waarna ze worden gevraagd een ZIP-archief te downloaden met daarin een malware-dropper. Deze dropper haalt de uiteindelijke lading op van een externe bron.

De aanvallers experimenteerden met verschillende initiële malware-droppers om de effectiviteit te bepalen, waaronder:

• Een JavaScript-dropper (JS Dropper) is ontworpen voor het downloaden en uitvoeren van PE's of DLL's.
• Een Excel-DNA-lader die gebruikmaakt van een open-sourceproject bedoeld voor het maken van XLL-bestanden, dat hier wordt uitgebuit voor het downloaden en uitvoeren van malware.
• VBS-downloaders (Virtual Basic Script) die malware kunnen uitvoeren via .vbs-bestanden in Microsoft Office-documenten of uitvoerbare bestanden op de opdrachtregel kunnen aanroepen.
• LNK-downloaders die Microsoft-snelkoppelingsbestanden (.lnk) misbruiken om malware te downloaden en uit te voeren.

Gedurende september 2023 diende de DarkGate-malware als de laatste lading bij deze aanvallen, maar deze werd vervolgens in oktober 2023 vervangen door PikaBot.

PikaBot heeft uitgebreide anti-analysemaatregelen

PikaBot, geïntroduceerd begin 2023, is een hedendaagse malware die bestaat uit een lader en een kernmodule, uitgerust met robuuste anti-debugging-, anti-VM- en anti-emulatiemechanismen. Deze malware profileert geïnfecteerde systemen nauwgezet en verzendt de verzamelde gegevens naar de command and control (C2)-infrastructuur, waar het op verdere instructies wacht.

De C2 geeft opdrachten uit die de malware opdracht geven om modules te downloaden en uit te voeren, beschikbaar in de vorm van DLL- of PE-bestanden, shellcode of opdrachtregelopdrachten, wat de veelzijdigheid ervan als hulpmiddel aantoont.

Onderzoekers waarschuwen dat de PikaBot- en DarkGate-campagnes worden georkestreerd door ervaren dreigingsactoren wier vaardigheden die van typische phishers overtreffen. Daarom worden organisaties aangespoord zich vertrouwd te maken met de tactieken, technieken en procedures (TTP's) die verband houden met deze campagne.