PikaBot Malware

Os pesquisadores de Infosec detectaram uma campanha de phishing altamente sofisticada que incorpora o malware PikaBot, marcando-a como a operação de phishing mais avançada desde o desmantelamento da operação Qakbot. Esta campanha fraudulenta por e-mail começou em setembro de 2023, após a apreensão e encerramento bem-sucedido da infraestrutura do QBot (Qakbot) pelo FBI.

Segundo os pesquisadores, antes do PikaBot, a campanha de ataque utilizava principalmente uma ameaça chamada Dark Gate. Os truques e técnicas empregados pelos invasores refletem de perto aqueles vistos em campanhas anteriores do Qakbot, sugerindo uma transição dos atores da ameaça Qbot para botnets de malware mais recentes.

O Qbot estava entre os botnets de malware mais difundidos por e-mail. Agora, o DarkGate e o PikaBot, que compartilham vários recursos com o Qbot como carregadores modulares de malware, representam uma ameaça significativa para as empresas. Semelhante ao Qbot, espera-se que esses novos carregadores de malware sejam empregados por agentes de ameaças para obter acesso inicial às redes, levando potencialmente a ataques de ransomware, espionagem e roubo de dados.

O PikaBot é Entregue por Meio de Ataques de Phishing

Os pesquisadores da Infosec observaram um aumento significativo em e-mails relacionados a fraudes propagando o malware DarkGate, com os atores da ameaça mudando para a implantação do PikaBot como a carga principal a partir de outubro de 2023. A campanha de phishing começa com um e-mail disfarçado de resposta ou encaminhamento de uma discussão furtada. thread, uma tática que visa promover a confiança entre os destinatários.

Ao clicar no URL incorporado, os usuários passam por uma série de verificações para confirmar sua validade como alvos, sendo posteriormente solicitados a baixar um arquivo ZIP que contém um dropper de malware. Este conta-gotas recupera a carga final de um recurso remoto.

Os invasores experimentaram vários droppers iniciais de malware para determinar a eficácia, incluindo:

• • Um dropper JavaScript (JS Dropper) é projetado para baixar e executar PEs ou DLLs.

• • Um carregador Excel-DNA que aproveita um projeto de código aberto destinado à criação de arquivos XLL, explorado aqui para baixar e executar malware.

• • Downloaders VBS (Virtual Basic Script) capazes de executar malware por meio de arquivos .vbs em documentos do Microsoft Office ou invocar executáveis de linha de comando.

• • Downloaders LNK que usam indevidamente arquivos de atalho da Microsoft (.lnk) para baixar e executar malware.

Ao longo de setembro de 2023, o malware DarkGate serviu como carga final nesses ataques, mas foi posteriormente substituído pelo PikaBot em outubro de 2023.

O PikaBot Possui Extensas Medidas Anti-Análise

Introduzido no início de 2023, o PikaBot é um malware contemporâneo que compreende um carregador e um módulo principal, equipado com mecanismos robustos de antidepuração, anti-VM e antiemulação. Este malware traça perfis meticulosamente dos sistemas infectados e transmite os dados coletados para sua infraestrutura de comando e controle (C2), onde aguarda instruções adicionais.

O C2 emite comandos direcionando o malware para baixar e executar módulos, disponíveis na forma de arquivos DLL ou PE, shellcode ou comandos de linha de comando, mostrando sua versatilidade como ferramenta.

Os pesquisadores alertam que as campanhas PikaBot e DarkGate são orquestradas por atores de ameaças experientes, cujas habilidades superam as dos phishers típicos. Consequentemente, as organizações são instadas a familiarizarem-se com as Táticas, Técnicas e Procedimentos (TTPs) correlacionados com esta campanha.