Malware PikaBot

Cercetătorii Infosec au detectat o campanie de phishing extrem de sofisticată care încorporează malware-ul PikaBot, marcând-o drept cea mai avansată operațiune de phishing de la dezmembrarea operațiunii Qakbot . Această campanie de e-mail frauduloasă a început în septembrie 2023, în urma confiscării și închiderii cu succes de către FBI a infrastructurii QBot (Qakbot).

Potrivit cercetătorilor, înainte de PikaBot, campania de atac a folosit în primul rând o amenințare numită Dark Gate . Trucurile și tehnicile folosite de atacatori le reflectă îndeaproape pe cele văzute în campaniile Qakbot anterioare, sugerând o tranziție a actorilor amenințărilor Qbot către rețele botnet mai noi malware.

Qbot a fost printre cele mai răspândite botnet-uri malware răspândite prin e-mail. Acum, DarkGate și PikaBot, care împărtășesc numeroase funcții cu Qbot ca încărcătoare modulare de malware, reprezintă o amenințare semnificativă pentru întreprinderi. Similar cu Qbot, se așteaptă ca aceste noi încărcătoare de malware să fie folosite de către actorii amenințărilor pentru a obține acces inițial la rețele, ceea ce poate duce la atacuri de tip ransomware, spionaj și furt de date.

PikaBot este livrat prin atacuri de phishing

Cercetătorii Infosec au observat o creștere semnificativă a e-mailurilor legate de fraudă care propagă malware-ul DarkGate, actorii amenințărilor trecând la implementarea PikaBot ca sarcină utilă principală începând cu octombrie 2023. Campania de phishing începe cu un e-mail mascalat ca răspuns sau transmitere a unei discuții furate. fir, o tactică menită să stimuleze încrederea în rândul destinatarilor.

După ce fac clic pe adresa URL încorporată, utilizatorii sunt supuși unei serii de verificări pentru a-și confirma validitatea ca ținte, ulterior fiind solicitați să descarce o arhivă ZIP care conține un dropper de malware. Acest dropper preia sarcina utilă finală de la o resursă la distanță.

Atacatorii au experimentat cu diferite aplicații inițiale de malware pentru a determina eficacitatea, inclusiv:

• Un dropper JavaScript (JS Dropper) este proiectat pentru descărcarea și executarea PE-uri sau DLL-uri.
• Un încărcător Excel-DNA care folosește un proiect open-source destinat creării de fișiere XLL, exploatat aici pentru descărcarea și rularea programelor malware.
• Descărcătoare VBS (Virtual Basic Script) capabile să execute programe malware prin fișiere .vbs din documentele Microsoft Office sau să invoce executabile de linie de comandă.
• Descărcătoare LNK care folosesc greșit fișierele de comandă rapidă Microsoft (.lnk) pentru a descărca și executa programe malware.

Pe tot parcursul lunii septembrie 2023, malware-ul DarkGate a servit ca sarcină utilă finală în aceste atacuri, dar a fost înlocuit ulterior de PikaBot în octombrie 2023.

PikaBot are măsuri extinse de antianaliză

Introdus la începutul anului 2023, PikaBot este un malware contemporan care cuprinde un încărcător și un modul de bază, echipat cu mecanisme robuste anti-depanare, anti-VM și anti-emulare. Acest malware profilează meticulos sistemele infectate și transmite datele adunate către infrastructura sa de comandă și control (C2), unde așteaptă instrucțiuni suplimentare.

C2 emite comenzi care direcționează malware-ul să descarce și să execute module, disponibile sub formă de fișiere DLL sau PE, shellcode sau comenzi din linia de comandă, arătându-și versatilitatea ca instrument.

Cercetătorii avertizează că campaniile PikaBot și DarkGate sunt orchestrate de actori adepți ai amenințărilor ale căror abilități le depășesc pe cele ale phisher-ului obișnuit. În consecință, organizațiile sunt îndemnate să se familiarizeze cu Tacticile, Tehnicile și Procedurile (TTP) corelate cu această campanie.