ПикаБот Малваре

Истраживачи Инфосец-а су открили веома софистицирану пхисхинг кампању која укључује малвер ПикаБот, означавајући је као најнапреднију пхисхинг операцију од укидања Какбот операције. Ова лажна кампања е-поште почела је у септембру 2023., након што је ФБИ успешно запленио и затворио КБот (Какбот) инфраструктуру.

Према истраживачима, пре ПикаБота, кампања напада је првенствено користила претњу под називом Дарк Гате . Трикови и технике које користе нападачи блиско одражавају оне виђене у претходним кампањама Какбот-а, сугеришући прелазак актера претњи Кбот-а на новије ботнетове малвера.

Кбот је био међу најраспрострањенијим ботнетима за малвер који се дистрибуирају путем е-поште. Сада, ДаркГате и ПикаБот, који деле бројне карактеристике са Кбот-ом као модуларни учитавачи малвера, представљају значајну претњу предузећима. Слично као код Кбот-а, очекује се да ће ове нове учитаваче малвера користити актери претњи како би добили почетни приступ мрежама, што би потенцијално довело до напада на рансомваре, шпијунажу и крађу података.

ПикаБот се испоручује путем пхисхинг напада

Истраживачи Инфосец-а су приметили значајан пораст е-порука у вези са преварама које пропагирају злонамерни софтвер ДаркГате, при чему су актери претњи прешли на примену ПикаБот-а као примарног терета почевши од октобра 2023. Кампања за крађу идентитета започиње е-поштом која се маскира као одговор или пренети на опљачкану дискусију нит, тактика која има за циљ неговање поверења међу примаоцима.

Након што кликну на уграђену УРЛ адресу, корисници пролазе кроз низ провера како би потврдили њихову валидност као мете, након чега ће бити затражено да преузму ЗИП архиву у којој се налази испуштач малвера. Овај дроппер преузима коначни корисни терет са удаљеног ресурса.

Нападачи су експериментисали са различитим почетним избацивачима малвера да би утврдили ефикасност, укључујући:

• ЈаваСцрипт дроппер (ЈС Дроппер) је дизајниран за преузимање и извршавање ПЕ-ова или ДЛЛ-ова.
• Учитавач Екцел-ДНК који користи пројекат отвореног кода намењен креирању КСЛЛ датотека, који се овде користи за преузимање и покретање злонамерног софтвера.
• ВБС (Виртуал Басиц Сцрипт) програми за преузимање који могу да извршавају малвер преко .вбс датотека у документима Мицрософт Оффице-а или позивају извршне датотеке командне линије.
• ЛНК преузимачи који злоупотребљавају датотеке Мицрософт пречица (.лнк) за преузимање и извршавање злонамерног софтвера.

Током септембра 2023., ДаркГате малвер је служио као коначни терет у овим нападима, али га је касније заменио ПикаБот у октобру 2023.

ПикаБот има опсежне мере против анализе

Представљен почетком 2023. године, ПикаБот је савремени малвер који се састоји од учитавача и основног модула, опремљеног робусним механизмима за уклањање грешака, анти-ВМ и анти-емулацију. Овај злонамерни софтвер пажљиво профилише заражене системе и преноси прикупљене податке у своју инфраструктуру за команду и контролу (Ц2), где чека даља упутства.

Ц2 издаје команде које усмеравају малвер да преузме и изврши модуле, доступне у облику ДЛЛ или ПЕ датотека, схелл кода или команди командне линије, показујући његову свестраност као алата.

Истраживачи упозоравају да кампање ПикаБот и ДаркГате оркестрирају вешти актери претњи чије вештине превазилазе оне типичних пхисхерс. Сходно томе, организације се позивају да се упознају са тактиком, техникама и процедурама (ТТП) у вези са овом кампањом.