PikaBot ਮਾਲਵੇਅਰ
Infosec ਖੋਜਕਰਤਾਵਾਂ ਨੇ PikaBot ਮਾਲਵੇਅਰ ਨੂੰ ਸ਼ਾਮਲ ਕਰਨ ਵਾਲੀ ਇੱਕ ਬਹੁਤ ਹੀ ਵਧੀਆ ਫਿਸ਼ਿੰਗ ਮੁਹਿੰਮ ਦਾ ਪਤਾ ਲਗਾਇਆ ਹੈ, ਜਿਸਨੂੰ ਕਕਬੋਟ ਓਪਰੇਸ਼ਨ ਨੂੰ ਖਤਮ ਕਰਨ ਤੋਂ ਬਾਅਦ ਸਭ ਤੋਂ ਉੱਨਤ ਫਿਸ਼ਿੰਗ ਓਪਰੇਸ਼ਨ ਵਜੋਂ ਚਿੰਨ੍ਹਿਤ ਕੀਤਾ ਗਿਆ ਹੈ। ਇਹ ਧੋਖਾਧੜੀ ਵਾਲੀ ਈਮੇਲ ਮੁਹਿੰਮ ਸਤੰਬਰ 2023 ਵਿੱਚ ਸ਼ੁਰੂ ਹੋਈ, ਐਫਬੀਆਈ ਦੀ ਸਫਲਤਾਪੂਰਵਕ ਜ਼ਬਤ ਅਤੇ QBot (Qakbot) ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਨੂੰ ਬੰਦ ਕਰਨ ਤੋਂ ਬਾਅਦ।
ਖੋਜਕਰਤਾਵਾਂ ਦੇ ਅਨੁਸਾਰ, ਪਿਕਾਬੋਟ ਤੋਂ ਪਹਿਲਾਂ, ਹਮਲੇ ਦੀ ਮੁਹਿੰਮ ਨੇ ਮੁੱਖ ਤੌਰ 'ਤੇ ਡਾਰਕ ਗੇਟ ਨਾਮਕ ਧਮਕੀ ਦੀ ਵਰਤੋਂ ਕੀਤੀ ਸੀ। ਹਮਲਾਵਰਾਂ ਦੁਆਰਾ ਵਰਤੀਆਂ ਗਈਆਂ ਚਾਲਾਂ ਅਤੇ ਤਕਨੀਕਾਂ ਪਿਛਲੀਆਂ ਕਕਬੋਟ ਮੁਹਿੰਮਾਂ ਵਿੱਚ ਦੇਖੇ ਗਏ ਲੋਕਾਂ ਨੂੰ ਨੇੜਿਓਂ ਪ੍ਰਤੀਬਿੰਬਤ ਕਰਦੀਆਂ ਹਨ, ਜੋ ਕਿ Qbot ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਅਦਾਕਾਰਾਂ ਨੂੰ ਨਵੇਂ ਮਾਲਵੇਅਰ ਬੋਟਨੈੱਟ ਵਿੱਚ ਤਬਦੀਲ ਕਰਨ ਦਾ ਸੁਝਾਅ ਦਿੰਦੀਆਂ ਹਨ।
Qbot ਈਮੇਲ ਦੁਆਰਾ ਫੈਲਾਏ ਗਏ ਸਭ ਤੋਂ ਵੱਧ ਫੈਲੇ ਮਾਲਵੇਅਰ ਬੋਟਨੈੱਟ ਵਿੱਚੋਂ ਇੱਕ ਸੀ। ਹੁਣ, DarkGate ਅਤੇ PikaBot, ਜੋ ਕਿ Qbot ਨਾਲ ਮਾਡਿਊਲਰ ਮਾਲਵੇਅਰ ਲੋਡਰਾਂ ਦੇ ਰੂਪ ਵਿੱਚ ਕਈ ਵਿਸ਼ੇਸ਼ਤਾਵਾਂ ਸਾਂਝੀਆਂ ਕਰਦੇ ਹਨ, ਉੱਦਮਾਂ ਲਈ ਇੱਕ ਮਹੱਤਵਪੂਰਨ ਖ਼ਤਰਾ ਪੇਸ਼ ਕਰਦੇ ਹਨ। Qbot ਦੀ ਤਰ੍ਹਾਂ, ਇਹਨਾਂ ਨਵੇਂ ਮਾਲਵੇਅਰ ਲੋਡਰਾਂ ਨੂੰ ਨੈੱਟਵਰਕਾਂ ਤੱਕ ਸ਼ੁਰੂਆਤੀ ਪਹੁੰਚ ਪ੍ਰਾਪਤ ਕਰਨ ਲਈ ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਅਦਾਕਾਰਾਂ ਦੁਆਰਾ ਨਿਯੁਕਤ ਕੀਤੇ ਜਾਣ ਦੀ ਉਮੀਦ ਕੀਤੀ ਜਾਂਦੀ ਹੈ, ਸੰਭਾਵੀ ਤੌਰ 'ਤੇ ਰੈਨਸਮਵੇਅਰ, ਜਾਸੂਸੀ ਅਤੇ ਡੇਟਾ ਚੋਰੀ ਦੇ ਹਮਲਿਆਂ ਦਾ ਕਾਰਨ ਬਣਦੇ ਹਨ।
PikaBot ਫਿਸ਼ਿੰਗ ਹਮਲਿਆਂ ਦੁਆਰਾ ਡਿਲੀਵਰ ਕੀਤਾ ਜਾਂਦਾ ਹੈ
Infosec ਖੋਜਕਰਤਾਵਾਂ ਨੇ DarkGate ਮਾਲਵੇਅਰ ਦਾ ਪ੍ਰਚਾਰ ਕਰਨ ਵਾਲੀਆਂ ਧੋਖਾਧੜੀ-ਸਬੰਧਤ ਈਮੇਲਾਂ ਵਿੱਚ ਇੱਕ ਮਹੱਤਵਪੂਰਨ ਵਾਧਾ ਦੇਖਿਆ ਹੈ, ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਐਕਟਰ ਅਕਤੂਬਰ 2023 ਤੋਂ ਸ਼ੁਰੂ ਹੋਣ ਵਾਲੇ ਪ੍ਰਾਇਮਰੀ ਪੇਲੋਡ ਦੇ ਤੌਰ 'ਤੇ PikaBot ਨੂੰ ਤੈਨਾਤ ਕਰਨ ਲਈ ਤਬਦੀਲ ਹੋ ਰਹੇ ਹਨ। ਫਿਸ਼ਿੰਗ ਮੁਹਿੰਮ ਇੱਕ ਜਵਾਬ ਦੇ ਰੂਪ ਵਿੱਚ ਇੱਕ ਈਮੇਲ ਮਖੌਟਾ ਕਰਨ ਨਾਲ ਸ਼ੁਰੂ ਹੁੰਦੀ ਹੈ ਜਾਂ ਇੱਕ ਖੋਜੀ ਚਰਚਾ ਦੇ ਅੱਗੇ ਭੇਜਦੀ ਹੈ। ਧਾਗਾ, ਪ੍ਰਾਪਤਕਰਤਾਵਾਂ ਵਿੱਚ ਵਿਸ਼ਵਾਸ ਨੂੰ ਉਤਸ਼ਾਹਿਤ ਕਰਨ ਲਈ ਇੱਕ ਚਾਲ ਹੈ।
ਏਮਬੈਡ ਕੀਤੇ URL 'ਤੇ ਕਲਿੱਕ ਕਰਨ 'ਤੇ, ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ ਟੀਚਿਆਂ ਵਜੋਂ ਆਪਣੀ ਵੈਧਤਾ ਦੀ ਪੁਸ਼ਟੀ ਕਰਨ ਲਈ ਜਾਂਚਾਂ ਦੀ ਇੱਕ ਲੜੀ ਤੋਂ ਗੁਜ਼ਰਨਾ ਪੈਂਦਾ ਹੈ, ਬਾਅਦ ਵਿੱਚ ਇੱਕ ਮਾਲਵੇਅਰ ਡਰਾਪਰ ਦੇ ਨਾਲ ਇੱਕ ZIP ਆਰਕਾਈਵ ਨੂੰ ਡਾਊਨਲੋਡ ਕਰਨ ਲਈ ਕਿਹਾ ਜਾਂਦਾ ਹੈ। ਇਹ ਡਰਾਪਰ ਇੱਕ ਰਿਮੋਟ ਸਰੋਤ ਤੋਂ ਅੰਤਮ ਪੇਲੋਡ ਪ੍ਰਾਪਤ ਕਰਦਾ ਹੈ।
ਹਮਲਾਵਰਾਂ ਨੇ ਪ੍ਰਭਾਵ ਨੂੰ ਨਿਰਧਾਰਤ ਕਰਨ ਲਈ ਵੱਖ-ਵੱਖ ਸ਼ੁਰੂਆਤੀ ਮਾਲਵੇਅਰ ਡਰਾਪਰਾਂ ਨਾਲ ਪ੍ਰਯੋਗ ਕੀਤਾ, ਜਿਸ ਵਿੱਚ ਸ਼ਾਮਲ ਹਨ:
- ਇੱਕ JavaScript ਡਰਾਪਰ (JS ਡਰਾਪਰ) PEs ਜਾਂ DLLs ਨੂੰ ਡਾਊਨਲੋਡ ਕਰਨ ਅਤੇ ਚਲਾਉਣ ਲਈ ਤਿਆਰ ਕੀਤਾ ਗਿਆ ਹੈ।
- ਇੱਕ ਐਕਸਲ-ਡੀਐਨਏ ਲੋਡਰ ਇੱਕ ਓਪਨ-ਸੋਰਸ ਪ੍ਰੋਜੈਕਟ ਦਾ ਲਾਭ ਲੈ ਰਿਹਾ ਹੈ ਜੋ XLL ਫਾਈਲ ਬਣਾਉਣ ਲਈ ਤਿਆਰ ਕੀਤਾ ਗਿਆ ਹੈ, ਇੱਥੇ ਮਾਲਵੇਅਰ ਨੂੰ ਡਾਊਨਲੋਡ ਕਰਨ ਅਤੇ ਚਲਾਉਣ ਲਈ ਸ਼ੋਸ਼ਣ ਕੀਤਾ ਗਿਆ ਹੈ।
- VBS (ਵਰਚੁਅਲ ਬੇਸਿਕ ਸਕ੍ਰਿਪਟ) ਡਾਉਨਲੋਡਰ ਮਾਈਕ੍ਰੋਸਾਫਟ ਆਫਿਸ ਦਸਤਾਵੇਜ਼ਾਂ ਵਿੱਚ .vbs ਫਾਈਲਾਂ ਦੁਆਰਾ ਮਾਲਵੇਅਰ ਨੂੰ ਚਲਾਉਣ ਜਾਂ ਕਮਾਂਡ-ਲਾਈਨ ਐਗਜ਼ੀਕਿਊਟੇਬਲ ਨੂੰ ਚਲਾਉਣ ਦੇ ਸਮਰੱਥ ਹਨ।
- LNK ਡਾਉਨਲੋਡਰ ਜੋ ਮਾਲਵੇਅਰ ਨੂੰ ਡਾਊਨਲੋਡ ਕਰਨ ਅਤੇ ਚਲਾਉਣ ਲਈ Microsoft ਸ਼ਾਰਟਕੱਟ ਫਾਈਲਾਂ (.lnk) ਦੀ ਦੁਰਵਰਤੋਂ ਕਰਦੇ ਹਨ।
ਸਤੰਬਰ 2023 ਦੇ ਦੌਰਾਨ, ਡਾਰਕਗੇਟ ਮਾਲਵੇਅਰ ਨੇ ਇਹਨਾਂ ਹਮਲਿਆਂ ਵਿੱਚ ਅੰਤਮ ਪੇਲੋਡ ਵਜੋਂ ਕੰਮ ਕੀਤਾ, ਪਰ ਬਾਅਦ ਵਿੱਚ ਇਸਨੂੰ ਅਕਤੂਬਰ 2023 ਵਿੱਚ PikaBot ਦੁਆਰਾ ਬਦਲ ਦਿੱਤਾ ਗਿਆ।
PikaBot ਵਿੱਚ ਵਿਆਪਕ ਐਂਟੀ-ਵਿਸ਼ਲੇਸ਼ਣ ਉਪਾਅ ਹਨ
2023 ਦੇ ਸ਼ੁਰੂ ਵਿੱਚ ਪੇਸ਼ ਕੀਤਾ ਗਿਆ, PikaBot ਇੱਕ ਸਮਕਾਲੀ ਮਾਲਵੇਅਰ ਹੈ ਜਿਸ ਵਿੱਚ ਇੱਕ ਲੋਡਰ ਅਤੇ ਇੱਕ ਕੋਰ ਮੋਡੀਊਲ ਸ਼ਾਮਲ ਹੈ, ਜੋ ਮਜਬੂਤ ਐਂਟੀ-ਡੀਬਗਿੰਗ, ਐਂਟੀ-VM, ਅਤੇ ਐਂਟੀ-ਇਮੂਲੇਸ਼ਨ ਵਿਧੀਆਂ ਨਾਲ ਲੈਸ ਹੈ। ਇਹ ਮਾਲਵੇਅਰ ਸਾਵਧਾਨੀ ਨਾਲ ਸੰਕਰਮਿਤ ਸਿਸਟਮਾਂ ਨੂੰ ਪ੍ਰੋਫਾਈਲ ਕਰਦਾ ਹੈ ਅਤੇ ਇਕੱਠੇ ਕੀਤੇ ਡੇਟਾ ਨੂੰ ਇਸਦੇ ਕਮਾਂਡ ਅਤੇ ਕੰਟਰੋਲ (C2) ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਵਿੱਚ ਸੰਚਾਰਿਤ ਕਰਦਾ ਹੈ, ਜਿੱਥੇ ਇਹ ਅਗਲੇ ਨਿਰਦੇਸ਼ਾਂ ਦੀ ਉਡੀਕ ਕਰਦਾ ਹੈ।
C2 ਮਾਲਵੇਅਰ ਨੂੰ ਡਾਉਨਲੋਡ ਕਰਨ ਅਤੇ ਚਲਾਉਣ ਲਈ ਨਿਰਦੇਸ਼ ਜਾਰੀ ਕਰਦਾ ਹੈ, ਜੋ ਕਿ DLL ਜਾਂ PE ਫਾਈਲਾਂ, ਸ਼ੈੱਲਕੋਡ, ਜਾਂ ਕਮਾਂਡ-ਲਾਈਨ ਕਮਾਂਡਾਂ ਦੇ ਰੂਪ ਵਿੱਚ ਉਪਲਬਧ ਹੈ, ਇੱਕ ਸੰਦ ਦੇ ਰੂਪ ਵਿੱਚ ਇਸਦੀ ਬਹੁਪੱਖੀਤਾ ਨੂੰ ਦਰਸਾਉਂਦਾ ਹੈ।
ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਸਾਵਧਾਨ ਕੀਤਾ ਕਿ PikaBot ਅਤੇ DarkGate ਮੁਹਿੰਮਾਂ ਨਿਪੁੰਨ ਖਤਰੇ ਵਾਲੇ ਅਦਾਕਾਰਾਂ ਦੁਆਰਾ ਤਿਆਰ ਕੀਤੀਆਂ ਗਈਆਂ ਹਨ ਜਿਨ੍ਹਾਂ ਦੇ ਹੁਨਰ ਆਮ ਫਿਸ਼ਰਾਂ ਨਾਲੋਂ ਵੱਧ ਹਨ। ਸਿੱਟੇ ਵਜੋਂ, ਸੰਗਠਨਾਂ ਨੂੰ ਇਸ ਮੁਹਿੰਮ ਨਾਲ ਸਬੰਧਿਤ ਰਣਨੀਤੀਆਂ, ਤਕਨੀਕਾਂ ਅਤੇ ਪ੍ਰਕਿਰਿਆਵਾਂ (TTPs) ਤੋਂ ਜਾਣੂ ਕਰਵਾਉਣ ਦੀ ਅਪੀਲ ਕੀਤੀ ਜਾਂਦੀ ਹੈ।
