Złośliwe oprogramowanie PikaBot

Badacze firmy Infosec wykryli wysoce wyrafinowaną kampanię phishingową wykorzystującą szkodliwe oprogramowanie PikaBot, co oznacza, że jest to najbardziej zaawansowana operacja phishingowa od czasu zlikwidowania operacji Qakbot . Ta oszukańcza kampania e-mailowa rozpoczęła się we wrześniu 2023 r. po udanym przejęciu i zamknięciu infrastruktury QBot (Qakbot) przez FBI.

Według badaczy przed PikaBotem kampania ataków wykorzystywała głównie zagrożenie o nazwie Dark Gate . Sztuczki i techniki stosowane przez atakujących ściśle odzwierciedlają te obserwowane w poprzednich kampaniach Qakbot, co sugeruje przejście ugrupowań zagrażających Qbot do nowszych botnetów zawierających złośliwe oprogramowanie.

Qbot był jednym z najbardziej rozpowszechnionych botnetów zawierających szkodliwe oprogramowanie rozpowszechnianych za pośrednictwem poczty elektronicznej. Obecnie DarkGate i PikaBot, które mają wiele wspólnych funkcji z Qbotem jako modułowe moduły ładujące złośliwe oprogramowanie, stanowią poważne zagrożenie dla przedsiębiorstw. Oczekuje się, że podobnie jak Qbot, te nowe programy ładujące złośliwe oprogramowanie będą wykorzystywane przez podmioty zagrażające w celu uzyskania początkowego dostępu do sieci, co może prowadzić do ataków typu ransomware, szpiegostwa i kradzieży danych.

PikaBot jest dostarczany poprzez ataki phishingowe

Badacze firmy Infosec zaobserwowali znaczny wzrost liczby e-maili związanych z oszustwami propagujących złośliwe oprogramowanie DarkGate, przy czym od października 2023 r. ugrupowania zagrażające przestawią się na wdrażanie PikaBota jako głównego ładunku. Kampania phishingowa rozpoczyna się od wiadomości e-mail udającej odpowiedź lub przesłanie skradzionej dyskusji wątku, taktyka mająca na celu budowanie zaufania wśród odbiorców.

Po kliknięciu osadzonego adresu URL użytkownicy przechodzą serię kontroli w celu potwierdzenia ich wiarygodności jako celów, a następnie są proszeni o pobranie archiwum ZIP zawierającego narzędzie do usuwania złośliwego oprogramowania. Ten dropper pobiera końcowy ładunek ze zdalnego zasobu.

Aby określić skuteczność, napastnicy eksperymentowali z różnymi początkowymi programami do usuwania złośliwego oprogramowania, w tym:

• Dropper JavaScript (JS Dropper) jest przeznaczony do pobierania i wykonywania plików PE lub DLL.
• Moduł ładujący Excel-DNA wykorzystujący projekt open source przeznaczony do tworzenia plików XLL, wykorzystywany tutaj do pobierania i uruchamiania złośliwego oprogramowania.
• Narzędzia pobierania VBS (Virtual Basic Script) zdolne do uruchamiania złośliwego oprogramowania za pośrednictwem plików .vbs w dokumentach pakietu Microsoft Office lub wywoływania plików wykonywalnych wiersza poleceń.
• Narzędzia pobierania LNK, które niewłaściwie wykorzystują pliki skrótów Microsoft (.lnk) do pobierania i uruchamiania złośliwego oprogramowania.

Przez cały wrzesień 2023 r. szkodliwy program DarkGate stanowił ostatni ładunek w tych atakach, ale w październiku 2023 r. został zastąpiony przez PikaBot.

PikaBot ma rozbudowane środki zapobiegające analizie

Wprowadzony na początku 2023 r. PikaBot to współczesne złośliwe oprogramowanie składające się z modułu ładującego i modułu podstawowego, wyposażonego w solidne mechanizmy zapobiegające debugowaniu, przeciwdziałające maszynom wirtualnym i emulujące. Szkodnik ten skrupulatnie profiluje zainfekowane systemy i przesyła zebrane dane do swojej infrastruktury dowodzenia i kontroli (C2), gdzie oczekuje na dalsze instrukcje.

C2 wydaje polecenia kierujące złośliwym oprogramowaniem do pobrania i wykonania modułów, dostępnych w postaci plików DLL lub PE, kodu powłoki lub poleceń wiersza poleceń, co ukazuje jego wszechstronność jako narzędzia.

Badacze ostrzegają, że kampanie PikaBot i DarkGate są organizowane przez doświadczonych cyberprzestępców, których umiejętności przewyższają umiejętności typowych phisherów. W związku z tym zachęca się organizacje do zapoznania się z taktyką, technikami i procedurami (TTP) związanymi z tą kampanią.