Malware PikaBot

Studiuesit e Infosec kanë zbuluar një fushatë shumë të sofistikuar phishing që përfshin malware PikaBot, duke e shënuar atë si operacionin më të avancuar të phishing që nga çmontimi i operacionit Qakbot . Kjo fushatë mashtruese me email filloi në shtator 2023, pas kapjes dhe mbylljes së suksesshme të infrastrukturës së QBot (Qakbot) nga FBI.

Sipas studiuesve, përpara PikaBot, fushata e sulmit përdorte kryesisht një kërcënim të quajtur Dark Gate . Truket dhe teknikat e përdorura nga sulmuesit pasqyrojnë nga afër ato që janë parë në fushatat e mëparshme të Qakbot, duke sugjeruar një kalim të aktorëve të kërcënimit Qbot në botnet më të reja malware.

Qbot ishte ndër botnet-et më të përhapur të malware të shpërndarë përmes emailit. Tani, DarkGate dhe PikaBot, të cilat ndajnë karakteristika të shumta me Qbot si ngarkues modularë malware, paraqesin një kërcënim të rëndësishëm për ndërmarrjet. Ngjashëm me Qbot, këta ngarkues të rinj malware pritet të përdoren nga aktorë kërcënimi për të fituar qasje fillestare në rrjete, duke çuar potencialisht në sulme ransomware, spiunazhi dhe vjedhje të të dhënave.

PikaBot shpërndahet përmes sulmeve phishing

Studiuesit e Infosec kanë vërejtur një rritje të konsiderueshme të emaileve të lidhura me mashtrimin që përhapin malware DarkGate, me aktorët e kërcënimit që kalojnë në vendosjen e PikaBot si ngarkesën kryesore duke filluar nga tetori 2023. Fushata e phishing fillon me një email që maskohet si një përgjigje ose përcjellje e një diskutimi të vjedhur fije, një taktikë që synon të nxisë besimin midis marrësve.

Pas klikimit të URL-së së integruar, përdoruesit i nënshtrohen një sërë kontrollesh për të konfirmuar vlefshmërinë e tyre si objektiva, më pas u kërkohet të shkarkojnë një arkiv ZIP që strehon një pikatore malware. Ky pikatore merr ngarkesën përfundimtare nga një burim i largët.

Sulmuesit eksperimentuan me pikatore të ndryshme fillestare të malware për të përcaktuar efektivitetin, duke përfshirë:

• Një pikatore JavaScript (JS Dropper) është krijuar për shkarkimin dhe ekzekutimin e PE ose DLL.
• Një ngarkues Excel-ADN që shfrytëzon një projekt me burim të hapur të destinuar për krijimin e skedarëve XLL, i shfrytëzuar këtu për shkarkimin dhe ekzekutimin e malware.
• Shkarkues VBS (Virtual Basic Script) të aftë për të ekzekutuar malware përmes skedarëve .vbs në dokumentet e Microsoft Office ose duke thirrur ekzekutues të linjës së komandës.
• Shkarkuesit LNK që keqpërdorin skedarët e shkurtoreve të Microsoft (.lnk) për të shkarkuar dhe ekzekutuar malware.

Gjatë gjithë shtatorit 2023, malware DarkGate shërbeu si ngarkesa përfundimtare në këto sulme, por më pas u zëvendësua nga PikaBot në tetor 2023.

PikaBot ka masa të gjera kundër analizës

I prezantuar në fillim të vitit 2023, PikaBot është një malware bashkëkohor që përbëhet nga një ngarkues dhe një modul bazë, i pajisur me mekanizma të fuqishëm kundër korrigjimit, anti-VM dhe kundër emulimit. Ky malware profilizon me përpikëri sistemet e infektuara dhe i transmeton të dhënat e mbledhura në infrastrukturën e tij komanduese dhe kontrolluese (C2), ku pret udhëzime të mëtejshme.

C2 lëshon komanda që drejtojnë malware për të shkarkuar dhe ekzekutuar module, të disponueshme në formën e skedarëve DLL ose PE, shellcode ose komandave të linjës së komandës, duke treguar shkathtësinë e tij si një mjet.

Studiuesit paralajmërojnë se fushatat PikaBot dhe DarkGate janë të orkestruara nga aktorë të aftë të kërcënimit, aftësitë e të cilëve tejkalojnë ato të phishers tipike. Rrjedhimisht, organizatave u kërkohet të njihen me Taktikat, Teknikat dhe Procedurat (TTP) që lidhen me këtë fushatë.