Škodlivý softvér PikaBot

Výskumníci spoločnosti Infosec odhalili vysoko sofistikovanú phishingovú kampaň obsahujúcu malvér PikaBot a označili ju za najpokročilejšiu phishingovú operáciu od rozloženia operácie Qakbot . Táto podvodná e-mailová kampaň sa začala v septembri 2023 po úspešnom zabavení a vypnutí infraštruktúry QBot (Qakbot) FBI.

Podľa výskumníkov útočná kampaň pred PikaBotom primárne využívala hrozbu s názvom Dark Gate . Triky a techniky používané útočníkmi presne odzrkadľujú triky a techniky, ktoré sme videli v predchádzajúcich kampaniach Qakbot, čo naznačuje prechod aktérov hrozby Qbot na novšie malvérové botnety.

Qbot patril medzi najrozšírenejšie malvérové botnety šírené e-mailom. Teraz DarkGate a PikaBot, ktoré zdieľajú množstvo funkcií s Qbotom ako modulárne nakladače malvéru, predstavujú významnú hrozbu pre podniky. Podobne ako v prípade Qbotu sa očakáva, že tieto nové nakladače malvéru budú využívať aktéri hrozieb na získanie počiatočného prístupu k sieťam, čo môže viesť k útokom ransomvéru, špionáže a krádeže údajov.

PikaBot sa dodáva prostredníctvom phishingových útokov

Výskumníci z Infosecu zaznamenali výrazný nárast e-mailov súvisiacich s podvodmi, ktoré šíria malvér DarkGate, pričom aktéri hrozieb začali v októbri 2023 nasadzovať PikaBot ako primárny náklad. Phishingová kampaň sa začína e-mailom, ktorý sa vydáva za odpoveď alebo preposielanie ukradnutej diskusie. vlákno, taktika zameraná na posilnenie dôvery medzi príjemcami.

Po kliknutí na vloženú adresu URL používatelia podstúpia sériu kontrol na potvrdenie ich platnosti ako cieľov a následne budú vyzvaní, aby si stiahli archív ZIP s kvapkadlom škodlivého softvéru. Toto kvapkadlo načíta konečné užitočné zaťaženie zo vzdialeného zdroja.

Útočníci experimentovali s rôznymi počiatočnými kvapkadlami škodlivého softvéru, aby určili účinnosť, vrátane:

• JavaScript dropper (JS Dropper) je určený na sťahovanie a spúšťanie PE alebo DLL.
• Excel-DNA loader využívajúci open-source projekt určený na vytváranie XLL súborov, ktorý sa tu využíva na sťahovanie a spúšťanie škodlivého softvéru.
• Sťahovače VBS (Virtual Basic Script) schopné spustiť malvér prostredníctvom súborov .vbs v dokumentoch balíka Microsoft Office alebo vyvolať spustiteľné súbory príkazového riadka.
• Sťahovače LNK, ktoré zneužívajú súbory zástupcov spoločnosti Microsoft (.lnk) na sťahovanie a spúšťanie škodlivého softvéru.

Počas celého septembra 2023 malvér DarkGate slúžil ako posledná užitočná záťaž pri týchto útokoch, no následne bol v októbri 2023 nahradený PikaBotom.

PikaBot má rozsiahle antianalytické opatrenia

PikaBot, ktorý bol predstavený začiatkom roku 2023, je súčasný malvér obsahujúci zavádzač a základný modul vybavený robustnými mechanizmami proti ladeniu, VM a emulácii. Tento malvér starostlivo profiluje infikované systémy a zhromaždené údaje prenáša do svojej infraštruktúry velenia a riadenia (C2), kde čaká na ďalšie pokyny.

C2 vydáva príkazy, ktoré nasmerujú malvér na stiahnutie a spustenie modulov, ktoré sú dostupné vo forme súborov DLL alebo PE, shell kódu alebo príkazov príkazového riadku, čím predvádza svoju všestrannosť ako nástroja.

Výskumníci upozorňujú, že kampane PikaBot a DarkGate sú riadené skúsenými hrozbami, ktorých schopnosti prevyšujú schopnosti typických phisherov. V dôsledku toho sú organizácie vyzývané, aby sa oboznámili s taktikou, technikami a postupmi (TTP), ktoré súvisia s touto kampaňou.