PikaBot మాల్వేర్

ఇన్ఫోసెక్ పరిశోధకులు PikaBot మాల్వేర్‌తో కూడిన అత్యంత అధునాతన ఫిషింగ్ ప్రచారాన్ని కనుగొన్నారు, Qakbot ఆపరేషన్‌ను తొలగించినప్పటి నుండి ఇది అత్యంత అధునాతన ఫిషింగ్ ఆపరేషన్‌గా గుర్తించబడింది. QBot (Qakbot) ఇన్‌ఫ్రాస్ట్రక్చర్‌ను FBI విజయవంతంగా సీజ్ చేసి, షట్‌డౌన్ చేసిన తర్వాత, ఈ మోసపూరిత ఇమెయిల్ ప్రచారం సెప్టెంబర్ 2023లో ప్రారంభమైంది.

పరిశోధకుల అభిప్రాయం ప్రకారం, PikaBot కంటే ముందు, దాడి ప్రచారం ప్రధానంగా డార్క్ గేట్ అనే ముప్పును ఉపయోగించింది. దాడి చేసేవారు ఉపయోగించే ఉపాయాలు మరియు సాంకేతికతలు మునుపటి Qakbot ప్రచారాలలో చూసిన వాటికి దగ్గరగా ప్రతిబింబిస్తాయి, Qbot ముప్పు నటులను కొత్త మాల్వేర్ బాట్‌నెట్‌లకు మార్చాలని సూచిస్తున్నాయి.

ఇమెయిల్ ద్వారా వ్యాప్తి చేయబడిన అత్యంత విస్తృతమైన మాల్వేర్ బాట్‌నెట్‌లలో Qbot ఒకటి. ఇప్పుడు, మాడ్యులర్ మాల్వేర్ లోడర్‌లుగా Qbot తో అనేక లక్షణాలను పంచుకునే DarkGate మరియు PikaBot, ఎంటర్‌ప్రైజ్‌లకు గణనీయమైన ముప్పును కలిగిస్తున్నాయి. Qbot మాదిరిగానే, ఈ కొత్త మాల్వేర్ లోడర్‌లు నెట్‌వర్క్‌లకు ప్రారంభ ప్రాప్యతను పొందడానికి ముప్పు నటులచే ఉపయోగించబడతాయని భావిస్తున్నారు, ఇది ransomware, గూఢచర్యం మరియు డేటా దొంగతనం దాడులకు దారితీయవచ్చు.

PikaBot ఫిషింగ్ అటాక్స్ ద్వారా అందించబడుతుంది

ఇన్ఫోసెక్ పరిశోధకులు డార్క్‌గేట్ మాల్వేర్‌ను ప్రచారం చేస్తున్న మోసానికి సంబంధించిన ఇమెయిల్‌లలో గణనీయమైన పెరుగుదలను గమనించారు, అక్టోబరు 2023 నుండి ప్రారంభమయ్యే ప్రాథమిక పేలోడ్‌గా పికాబాట్‌ను అమలు చేయడానికి ముప్పు నటులు మారారు. ఫిషింగ్ ప్రచారం ఒక ఇమెయిల్‌ను ప్రత్యుత్తరం లేదా పంపిన చర్చకు ఫార్వార్డ్‌గా మారుస్తుంది. థ్రెడ్, గ్రహీతల మధ్య నమ్మకాన్ని పెంపొందించే లక్ష్యంతో ఒక వ్యూహం.

పొందుపరిచిన URLను క్లిక్ చేసిన తర్వాత, వినియోగదారులు తమ చెల్లుబాటును లక్ష్యాలుగా నిర్ధారించడానికి వరుస తనిఖీలకు లోనవుతారు, తదనంతరం మాల్వేర్ డ్రాపర్‌ను కలిగి ఉన్న జిప్ ఆర్కైవ్‌ను డౌన్‌లోడ్ చేయమని ప్రాంప్ట్ చేయబడతారు. ఈ డ్రాపర్ రిమోట్ వనరు నుండి తుది పేలోడ్‌ను తిరిగి పొందుతుంది.

దాడి చేసేవారు వివిధ ప్రారంభ మాల్వేర్ డ్రాపర్‌లతో ప్రయోగాలు చేశారు, వాటితో సహా:

• జావాస్క్రిప్ట్ డ్రాపర్ (JS డ్రాపర్) PEలు లేదా DLLలను డౌన్‌లోడ్ చేయడం మరియు అమలు చేయడం కోసం రూపొందించబడింది.
• XLL ఫైల్ సృష్టి కోసం ఉద్దేశించిన ఓపెన్-సోర్స్ ప్రాజెక్ట్‌ను ప్రభావితం చేసే Excel-DNA లోడర్, మాల్వేర్‌ను డౌన్‌లోడ్ చేయడం మరియు అమలు చేయడం కోసం ఇక్కడ ఉపయోగించబడింది.
• VBS (వర్చువల్ బేసిక్ స్క్రిప్ట్) డౌన్‌లోడ్‌లు మైక్రోసాఫ్ట్ ఆఫీస్ డాక్యుమెంట్‌లలోని .vbs ఫైల్‌ల ద్వారా మాల్వేర్‌ను అమలు చేయగల సామర్థ్యం లేదా కమాండ్-లైన్ ఎక్జిక్యూటబుల్‌లను అమలు చేయగలవు.
• మాల్వేర్‌ని డౌన్‌లోడ్ చేయడానికి మరియు అమలు చేయడానికి మైక్రోసాఫ్ట్ షార్ట్‌కట్ ఫైల్‌లను (.lnk) దుర్వినియోగం చేసే LNK డౌన్‌లోడర్‌లు.

సెప్టెంబరు 2023 అంతటా, ఈ దాడులలో డార్క్‌గేట్ మాల్వేర్ చివరి పేలోడ్‌గా పనిచేసింది, అయితే ఇది అక్టోబర్ 2023లో PikaBot ద్వారా భర్తీ చేయబడింది.

PikaBot విస్తృతమైన వ్యతిరేక విశ్లేషణ చర్యలను కలిగి ఉంది

2023 ప్రారంభంలో పరిచయం చేయబడింది, PikaBot అనేది లోడర్ మరియు కోర్ మాడ్యూల్‌తో కూడిన సమకాలీన మాల్వేర్, ఇది బలమైన యాంటీ-డీబగ్గింగ్, యాంటీ-వీఎం మరియు యాంటీ-ఎమ్యులేషన్ మెకానిజమ్‌లను కలిగి ఉంటుంది. ఈ మాల్వేర్ సోకిన సిస్టమ్‌లను నిశితంగా ప్రొఫైల్ చేస్తుంది మరియు సేకరించిన డేటాను దాని కమాండ్ అండ్ కంట్రోల్ (C2) ఇన్‌ఫ్రాస్ట్రక్చర్‌కు ప్రసారం చేస్తుంది, ఇక్కడ అది తదుపరి సూచనల కోసం వేచి ఉంది.

DLL లేదా PE ఫైల్‌లు, షెల్‌కోడ్ లేదా కమాండ్-లైన్ కమాండ్‌ల రూపంలో లభ్యమయ్యే మాడ్యూల్‌లను డౌన్‌లోడ్ చేయడానికి మరియు అమలు చేయడానికి మాల్వేర్‌ను నిర్దేశించే ఆదేశాలను C2 జారీ చేస్తుంది, దాని బహుముఖ ప్రజ్ఞను ఒక సాధనంగా ప్రదర్శిస్తుంది.

PikaBot మరియు DarkGate ప్రచారాలు సాధారణ ఫిషర్‌ల నైపుణ్యాలను అధిగమించే నైపుణ్యం కలిగిన ముప్పు నటులచే నిర్వహించబడుతున్నాయని పరిశోధకులు హెచ్చరిస్తున్నారు. పర్యవసానంగా, ఈ ప్రచారంతో పరస్పర సంబంధం ఉన్న వ్యూహాలు, సాంకేతికతలు మరియు విధానాలు (TTPలు) గురించి సంస్థలు తమను తాము పరిచయం చేసుకోవాలని కోరారు.