PikaBot Malware

Infosec-forskare har upptäckt en mycket sofistikerad nätfiskekampanj som innehåller skadlig programvara PikaBot, vilket markerar den som den mest avancerade nätfiskeoperationen sedan Qakbot -operationen avvecklades. Denna bedrägliga e-postkampanj började i september 2023, efter FBI:s framgångsrika beslagtagande och avstängning av QBots (Qakbot) infrastruktur.

Enligt forskare använde attackkampanjen före PikaBot främst ett hot som heter Dark Gate . Knepen och teknikerna som angriparna använder speglar nära de som setts i tidigare Qakbot-kampanjer, vilket tyder på en övergång av Qbot-hotaktörer till nyare botnät för skadlig programvara.

Qbot var bland de mest utbredda skadliga botnät som spreds via e-post. Nu utgör DarkGate och PikaBot, som delar många funktioner med Qbot som modulära skadlig programvara, ett betydande hot mot företag. I likhet med Qbot förväntas dessa nya skadlig programvara användas av hotaktörer för att få initial åtkomst till nätverk, vilket potentiellt kan leda till ransomware, spionage och datastöldsattacker.

PikaBot levereras genom nätfiskeattacker

Infosec-forskare har observerat en betydande ökning av bedrägerirelaterade e-postmeddelanden som sprider skadlig programvara DarkGate, med hotaktörer som går över till att distribuera PikaBot som den primära nyttolasten från och med oktober 2023. Nätfiskekampanjen inleds med ett e-postmeddelande som maskerar sig som ett svar eller vidare till en snattad diskussion tråd, en taktik som syftar till att främja förtroende bland mottagarna.

När användarna klickar på den inbäddade URL:en genomgår användarna en serie kontroller för att bekräfta deras giltighet som mål, och uppmanas därefter att ladda ner ett ZIP-arkiv som innehåller en skadlig programvara. Denna dropper hämtar den slutliga nyttolasten från en fjärrresurs.

Angriparna experimenterade med olika initiala skadlig programvara för att fastställa effektiviteten, inklusive:

• En JavaScript-dropper (JS Dropper) är designad för att ladda ner och köra PE eller DLL.
• En Excel-DNA-laddare som utnyttjar ett öppen källkodsprojekt avsett för att skapa XLL-filer, som utnyttjas här för att ladda ner och köra skadlig programvara.
• VBS (Virtual Basic Script)-nedladdare som kan köra skadlig programvara via .vbs-filer i Microsoft Office-dokument eller anropa körbara kommandoradsfiler.
• LNK-nedladdare som missbrukar Microsoft-genvägsfiler (.lnk) för att ladda ner och köra skadlig programvara.

Under hela september 2023 fungerade DarkGate malware som den sista nyttolasten i dessa attacker, men den ersattes sedan av PikaBot i oktober 2023.

PikaBot har omfattande antianalysåtgärder

PikaBot, som introducerades i början av 2023, är en modern skadlig programvara som består av en laddare och en kärnmodul, utrustad med robusta anti-debugging, anti-VM och anti-emuleringsmekanismer. Denna skadliga programvara profilerar noggrant infekterade system och överför den insamlade informationen till sin kommando- och kontrollinfrastruktur (C2), där den väntar på ytterligare instruktioner.

C2 utfärdar kommandon som styr skadlig programvara att ladda ner och köra moduler, tillgängliga i form av DLL- eller PE-filer, skalkod eller kommandoradskommandon, vilket visar upp dess mångsidighet som ett verktyg.

Forskare varnar för att PikaBot- och DarkGate-kampanjerna är orkestrerade av skickliga hotaktörer vars färdigheter överträffar typiska nätfiskare. Följaktligen uppmanas organisationer att bekanta sig med taktik, tekniker och förfaranden (TTP) som är kopplade till denna kampanj.