PikaBot மால்வேர்
இன்ஃபோசெக் ஆராய்ச்சியாளர்கள் PikaBot தீம்பொருளை உள்ளடக்கிய அதிநவீன ஃபிஷிங் பிரச்சாரத்தைக் கண்டறிந்துள்ளனர், இது கக்போட் செயல்பாட்டை அகற்றியதில் இருந்து மிகவும் மேம்பட்ட ஃபிஷிங் செயல்பாடாகக் குறிக்கிறது. QBot இன் (Qakbot) உள்கட்டமைப்பை FBI வெற்றிகரமாக கைப்பற்றி நிறுத்தியதைத் தொடர்ந்து, இந்த மோசடி மின்னஞ்சல் பிரச்சாரம் செப்டம்பர் 2023 இல் தொடங்கியது.
ஆராய்ச்சியாளர்களின் கூற்றுப்படி, PikaBot க்கு முன், தாக்குதல் பிரச்சாரம் முதன்மையாக டார்க் கேட் என்ற அச்சுறுத்தலைப் பயன்படுத்தியது. தாக்குபவர்களால் பயன்படுத்தப்படும் தந்திரங்கள் மற்றும் நுட்பங்கள் முந்தைய கக்போட் பிரச்சாரங்களில் காணப்பட்டதைப் பிரதிபலிக்கின்றன, இது Qbot அச்சுறுத்தல் நடிகர்களை புதிய தீம்பொருள் பாட்நெட்டுகளுக்கு மாற்ற பரிந்துரைக்கிறது.
Qbot என்பது மின்னஞ்சல் வழியாகப் பரப்பப்படும் மிகவும் பரவலான மால்வேர் போட்நெட்டுகளில் ஒன்றாகும். இப்போது, மட்டு மால்வேர் ஏற்றிகளாக Qbot உடன் பல அம்சங்களைப் பகிர்ந்து கொள்ளும் DarkGate மற்றும் PikaBot ஆகியவை நிறுவனங்களுக்கு ஒரு குறிப்பிடத்தக்க அச்சுறுத்தலை வழங்குகின்றன. Qbot ஐப் போலவே, இந்த புதிய தீம்பொருள் ஏற்றிகள் நெட்வொர்க்குகளுக்கான ஆரம்ப அணுகலைப் பெற அச்சுறுத்தல் நடிகர்களால் பயன்படுத்தப்படும் என்று எதிர்பார்க்கப்படுகிறது, இது ransomware, உளவு மற்றும் தரவு திருட்டு தாக்குதல்களுக்கு வழிவகுக்கும்.
PikaBot ஃபிஷிங் தாக்குதல்கள் மூலம் வழங்கப்படுகிறது
டார்க் கேட் மால்வேரைப் பிரச்சாரம் செய்யும் மோசடி தொடர்பான மின்னஞ்சல்களில் கணிசமான அதிகரிப்பை Infosec ஆராய்ச்சியாளர்கள் அவதானித்துள்ளனர், அச்சுறுத்தல் நடிகர்கள் PikaBot ஐ முதன்மை பேலோடாக 2023 அக்டோபரில் பயன்படுத்துவதற்கு மாறியுள்ளனர். ஃபிஷிங் பிரச்சாரம் ஒரு மின்னஞ்சல் முகமூடியுடன் தொடங்கப்பட்டது. நூல், பெறுநர்களிடையே நம்பிக்கையை வளர்ப்பதை நோக்கமாகக் கொண்ட ஒரு தந்திரம்.
உட்பொதிக்கப்பட்ட URL ஐக் கிளிக் செய்வதன் மூலம், பயனர்கள் தங்கள் செல்லுபடியை இலக்குகளாக உறுதிப்படுத்த தொடர்ச்சியான சோதனைகளுக்கு உட்படுத்தப்படுகிறார்கள், பின்னர் ஒரு ஜிப் காப்பகத்தை மால்வேர் துளிசொட்டியை பதிவிறக்கம் செய்யும்படி கேட்கப்படுகிறார்கள். இந்த டிராப்பர் ரிமோட் ஆதாரத்திலிருந்து இறுதி பேலோடை மீட்டெடுக்கிறது.
தாக்குபவர்கள் செயல்திறனைக் கண்டறிய பல்வேறு ஆரம்ப மால்வேர் டிராப்பர்களை பரிசோதித்தனர், அவற்றுள்:
- ஜாவாஸ்கிரிப்ட் டிராப்பர் (JS Dropper) PEகள் அல்லது DLLகளை பதிவிறக்கம் செய்து செயல்படுத்த வடிவமைக்கப்பட்டுள்ளது.
- ஒரு Excel-DNA ஏற்றி, எக்ஸ்எல்எல் கோப்பு உருவாக்கத்திற்காக வடிவமைக்கப்பட்ட ஒரு திறந்த மூலத் திட்டத்தை மேம்படுத்துகிறது, தீம்பொருளைப் பதிவிறக்கி இயக்குவதற்காக இங்கே பயன்படுத்தப்படுகிறது.
- VBS (விர்ச்சுவல் அடிப்படை ஸ்கிரிப்ட்) பதிவிறக்குபவர்கள் மைக்ரோசாஃப்ட் ஆபிஸ் ஆவணங்களில் உள்ள .vbs கோப்புகள் மூலம் மால்வேரை இயக்கும் அல்லது கட்டளை-வரி இயங்குதளங்களை செயல்படுத்தும் திறன் கொண்டவர்கள்.
- மால்வேரைப் பதிவிறக்கி இயக்க மைக்ரோசாஃப்ட் ஷார்ட்கட் கோப்புகளை (.lnk) தவறாகப் பயன்படுத்தும் LNK டவுன்லோடர்கள்.
செப்டம்பர் 2023 முழுவதும், டார்க்கேட் மால்வேர் இந்தத் தாக்குதல்களில் இறுதி பேலோடாக செயல்பட்டது, ஆனால் அது அக்டோபர் 2023 இல் PikaBot ஆல் மாற்றப்பட்டது.
PikaBot விரிவான பகுப்பாய்வு எதிர்ப்பு நடவடிக்கைகளைக் கொண்டுள்ளது
2023 ஆம் ஆண்டின் தொடக்கத்தில் அறிமுகப்படுத்தப்பட்டது, PikaBot என்பது ஒரு லோடர் மற்றும் கோர் மாட்யூலை உள்ளடக்கிய ஒரு சமகால மால்வேர் ஆகும், இது வலுவான ஆண்டி-டிபக்கிங், ஆன்டி-விஎம் மற்றும் ஆன்டி-எமுலேஷன் பொறிமுறைகளைக் கொண்டுள்ளது. இந்த தீம்பொருள் பாதிக்கப்பட்ட அமைப்புகளை உன்னிப்பாக விவரித்து, சேகரிக்கப்பட்ட தரவை அதன் கட்டளை மற்றும் கட்டுப்பாடு (C2) உள்கட்டமைப்புக்கு அனுப்புகிறது, அங்கு அது மேலதிக வழிமுறைகளுக்காக காத்திருக்கிறது.
DLL அல்லது PE கோப்புகள், ஷெல்கோடு அல்லது கட்டளை வரி கட்டளைகள் போன்ற வடிவங்களில் கிடைக்கும் மாட்யூல்களை பதிவிறக்கம் செய்து இயக்க மால்வேரை வழிநடத்தும் கட்டளைகளை C2 வெளியிடுகிறது, இது ஒரு கருவியாக அதன் பல்துறை திறனைக் காட்டுகிறது.
PikaBot மற்றும் DarkGate பிரச்சாரங்கள் வழக்கமான ஃபிஷர்களை விட திறமையான அச்சுறுத்தல் நடிகர்களால் திட்டமிடப்பட்டதாக ஆராய்ச்சியாளர்கள் எச்சரிக்கின்றனர். இதன் விளைவாக, இந்த பிரச்சாரத்துடன் தொடர்புடைய தந்திரோபாயங்கள், நுட்பங்கள் மற்றும் நடைமுறைகள் (TTPs) ஆகியவற்றுடன் தங்களைப் பற்றி அறிந்துகொள்ள நிறுவனங்கள் வலியுறுத்தப்படுகின்றன.
