Zlonamerna programska oprema PikaBot

Raziskovalci podjetja Infosec so zaznali zelo sofisticirano lažno predstavljanje, ki vključuje zlonamerno programsko opremo PikaBot, in jo označili za najnaprednejšo operacijo lažnega predstavljanja od odstranitve operacije Qakbot . Ta goljufiva e-poštna kampanja se je začela septembra 2023, potem ko je FBI uspešno zasegel in zaustavil infrastrukturo QBot (Qakbot).

Po mnenju raziskovalcev je pred PikaBotom napadalna kampanja uporabljala predvsem grožnjo, imenovano Dark Gate . Triki in tehnike, ki jih uporabljajo napadalci, so zelo podobni tistim, ki so jih videli v prejšnjih kampanjah Qakbot, kar kaže na prehod akterjev groženj Qbot na novejše botnete zlonamerne programske opreme.

Qbot je bil med najbolj razširjenimi botneti zlonamerne programske opreme, ki so se širili po e-pošti. Zdaj DarkGate in PikaBot, ki imata številne funkcije kot modularni nalagalnik zlonamerne programske opreme Qbot , predstavljata veliko grožnjo za podjetja. Podobno kot Qbot se pričakuje, da bodo te nove nalagalnike zlonamerne programske opreme uporabili akterji groženj za pridobitev začetnega dostopa do omrežij, kar lahko vodi do napadov z izsiljevalsko programsko opremo, vohunjenjem in krajo podatkov.

PikaBot se izvaja prek lažnega predstavljanja

Raziskovalci Infosec so opazili znaten porast e-poštnih sporočil, povezanih z goljufijami, ki širijo zlonamerno programsko opremo DarkGate, pri čemer so akterji groženj začeli oktobra 2023 uporabljati PikaBot kot primarni tovor. Kampanja lažnega predstavljanja se začne z e-poštnim sporočilom, ki se predstavlja kot odgovor ali posredovanje ukradene razprave. nit, taktika, namenjena spodbujanju zaupanja med prejemniki.

Ko kliknejo vdelani URL, uporabniki opravijo vrsto preverjanj, da potrdijo svojo veljavnost kot tarče, nato pa so pozvani, da prenesejo arhiv ZIP, v katerem je zlonamerna programska oprema. Ta dropper pridobi končni tovor iz oddaljenega vira.

Napadalci so eksperimentirali z različnimi začetnimi programi zlonamerne programske opreme, da bi ugotovili učinkovitost, vključno z:

• Kapalka JavaScript (JS Dropper) je zasnovana za prenos in izvajanje PE ali DLL.
• Nalagalnik Excel-DNA, ki izkorišča odprtokodni projekt, namenjen ustvarjanju datotek XLL, ki se tukaj uporablja za prenos in zagon zlonamerne programske opreme.
• Programi za prenos VBS (Virtual Basic Script), ki lahko izvajajo zlonamerno programsko opremo prek datotek .vbs v dokumentih Microsoft Office ali kličejo izvršljive datoteke ukazne vrstice.
• Prenosniki LNK, ki zlorabljajo Microsoftove datoteke bližnjic (.lnk) za prenos in izvajanje zlonamerne programske opreme.

Skozi september 2023 je zlonamerna programska oprema DarkGate služila kot zadnji koristni tovor v teh napadih, vendar jo je oktobra 2023 nadomestil PikaBot.

PikaBot ima obsežne ukrepe proti analizi

PikaBot, ki je bil predstavljen v začetku leta 2023, je sodobna zlonamerna programska oprema, ki obsega nalagalnik in jedrni modul, opremljen z robustnimi mehanizmi za odpravljanje napak, proti VM in proti emulaciji. Ta zlonamerna programska oprema natančno profilira okužene sisteme in posreduje zbrane podatke svoji infrastrukturi za upravljanje in nadzor (C2), kjer čaka na nadaljnja navodila.

C2 izda ukaze, ki usmerjajo zlonamerno programsko opremo, da naloži in izvede module, ki so na voljo v obliki datotek DLL ali PE, lupinske kode ali ukazov ukazne vrstice, kar prikazuje njegovo vsestranskost kot orodje.

Raziskovalci opozarjajo, da kampanji PikaBot in DarkGate upravljajo spretni akterji groženj, katerih sposobnosti presegajo sposobnosti tipičnih lažnih predstavljalcev. Posledično so organizacije pozvane, da se seznanijo s taktikami, tehnikami in postopki (TTP), ki so povezani s to kampanjo.