Вредоносное ПО PikaBot

Исследователи Infosec обнаружили сложную фишинговую кампанию с использованием вредоносного ПО PikaBot, отметив ее как самую продвинутую фишинговую операцию с момента прекращения операции Qakbot . Эта мошенническая кампания по электронной почте началась в сентябре 2023 года после успешного захвата ФБР и отключения инфраструктуры QBot (Qakbot).

По мнению исследователей, до появления PikaBot в атаке в основном использовалась угроза под названием Dark Gate . Уловки и приемы, используемые злоумышленниками, во многом повторяют те, которые применялись в предыдущих кампаниях Qakbot, что предполагает переход злоумышленников Qbot к новым вредоносным бот-сетям.

Qbot был одним из наиболее распространенных вредоносных ботнетов, распространявшихся по электронной почте. Теперь DarkGate и PikaBot, которые имеют множество общих с Qbot функций в качестве модульных загрузчиков вредоносного ПО, представляют собой серьезную угрозу для предприятий. Ожидается, что, как и в случае с Qbot, эти новые загрузчики вредоносного ПО будут использоваться злоумышленниками для получения первоначального доступа к сетям, что потенциально может привести к атакам с использованием программ-вымогателей, шпионажа и кражи данных.

PikaBot доставляется посредством фишинговых атак

Исследователи Infosec отмечают значительный рост количества электронных писем, связанных с мошенничеством, распространяющих вредоносное ПО DarkGate, при этом злоумышленники переходят к использованию PikaBot в качестве основной полезной нагрузки, начиная с октября 2023 года. Фишинговая кампания начинается с электронного письма, маскирующегося под ответ или продолжение украденного обсуждения. нить - тактика, направленная на укрепление доверия между получателями.

При нажатии на встроенный URL-адрес пользователи проходят серию проверок, чтобы подтвердить их пригодность в качестве целей, после чего им предлагается загрузить ZIP-архив, содержащий дроппер вредоносного ПО. Этот дроппер извлекает окончательную полезную нагрузку с удаленного ресурса.

Злоумышленники экспериментировали с различными первоначальными загрузчиками вредоносного ПО, чтобы определить эффективность, в том числе:

• Дроппер JavaScript (JS Dropper) предназначен для загрузки и выполнения PE или DLL.
• Загрузчик Excel-DNA, использующий проект с открытым исходным кодом, предназначенный для создания файлов XLL, который используется здесь для загрузки и запуска вредоносного ПО.
• Загрузчики VBS (Virtual Basic Script), способные запускать вредоносные программы через файлы .vbs в документах Microsoft Office или вызывать исполняемые файлы из командной строки.
• Загрузчики LNK, которые неправильно используют файлы ярлыков Microsoft (.lnk) для загрузки и запуска вредоносных программ.

В течение сентября 2023 года вредоносное ПО DarkGate служило последней полезной нагрузкой в этих атаках, но впоследствии в октябре 2023 года оно было заменено PikaBot.

PikaBot имеет обширные меры по борьбе с анализом

PikaBot, представленный в начале 2023 года, представляет собой современное вредоносное ПО, состоящее из загрузчика и основного модуля, оснащенное надежными механизмами защиты от отладки, защиты виртуальных машин и эмуляции. Это вредоносное ПО тщательно профилирует зараженные системы и передает собранные данные в свою инфраструктуру управления и контроля (C2), где ожидает дальнейших инструкций.

C2 выдает команды, предписывающие вредоносному ПО загружать и выполнять модули, доступные в виде файлов DLL или PE, шелл-кода или команд командной строки, демонстрируя свою универсальность как инструмента.

Исследователи предупреждают, что кампании PikaBot и DarkGate организованы искусными участниками угроз, чьи навыки превосходят навыки типичных фишеров. Следовательно, организациям настоятельно рекомендуется ознакомиться с тактикой, методами и процедурами (TTP), связанными с этой кампанией.