PikaBot మాల్వేర్
ఇన్ఫోసెక్ పరిశోధకులు PikaBot మాల్వేర్తో కూడిన అత్యంత అధునాతన ఫిషింగ్ ప్రచారాన్ని కనుగొన్నారు, Qakbot ఆపరేషన్ను తొలగించినప్పటి నుండి ఇది అత్యంత అధునాతన ఫిషింగ్ ఆపరేషన్గా గుర్తించబడింది. QBot (Qakbot) ఇన్ఫ్రాస్ట్రక్చర్ను FBI విజయవంతంగా సీజ్ చేసి, షట్డౌన్ చేసిన తర్వాత, ఈ మోసపూరిత ఇమెయిల్ ప్రచారం సెప్టెంబర్ 2023లో ప్రారంభమైంది.
పరిశోధకుల అభిప్రాయం ప్రకారం, PikaBot కంటే ముందు, దాడి ప్రచారం ప్రధానంగా డార్క్ గేట్ అనే ముప్పును ఉపయోగించింది. దాడి చేసేవారు ఉపయోగించే ఉపాయాలు మరియు సాంకేతికతలు మునుపటి Qakbot ప్రచారాలలో చూసిన వాటికి దగ్గరగా ప్రతిబింబిస్తాయి, Qbot ముప్పు నటులను కొత్త మాల్వేర్ బాట్నెట్లకు మార్చాలని సూచిస్తున్నాయి.
ఇమెయిల్ ద్వారా వ్యాప్తి చేయబడిన అత్యంత విస్తృతమైన మాల్వేర్ బాట్నెట్లలో Qbot ఒకటి. ఇప్పుడు, మాడ్యులర్ మాల్వేర్ లోడర్లుగా Qbot తో అనేక లక్షణాలను పంచుకునే DarkGate మరియు PikaBot, ఎంటర్ప్రైజ్లకు గణనీయమైన ముప్పును కలిగిస్తున్నాయి. Qbot మాదిరిగానే, ఈ కొత్త మాల్వేర్ లోడర్లు నెట్వర్క్లకు ప్రారంభ ప్రాప్యతను పొందడానికి ముప్పు నటులచే ఉపయోగించబడతాయని భావిస్తున్నారు, ఇది ransomware, గూఢచర్యం మరియు డేటా దొంగతనం దాడులకు దారితీయవచ్చు.
PikaBot ఫిషింగ్ అటాక్స్ ద్వారా అందించబడుతుంది
ఇన్ఫోసెక్ పరిశోధకులు డార్క్గేట్ మాల్వేర్ను ప్రచారం చేస్తున్న మోసానికి సంబంధించిన ఇమెయిల్లలో గణనీయమైన పెరుగుదలను గమనించారు, అక్టోబరు 2023 నుండి ప్రారంభమయ్యే ప్రాథమిక పేలోడ్గా పికాబాట్ను అమలు చేయడానికి ముప్పు నటులు మారారు. ఫిషింగ్ ప్రచారం ఒక ఇమెయిల్ను ప్రత్యుత్తరం లేదా పంపిన చర్చకు ఫార్వార్డ్గా మారుస్తుంది. థ్రెడ్, గ్రహీతల మధ్య నమ్మకాన్ని పెంపొందించే లక్ష్యంతో ఒక వ్యూహం.
పొందుపరిచిన URLను క్లిక్ చేసిన తర్వాత, వినియోగదారులు తమ చెల్లుబాటును లక్ష్యాలుగా నిర్ధారించడానికి వరుస తనిఖీలకు లోనవుతారు, తదనంతరం మాల్వేర్ డ్రాపర్ను కలిగి ఉన్న జిప్ ఆర్కైవ్ను డౌన్లోడ్ చేయమని ప్రాంప్ట్ చేయబడతారు. ఈ డ్రాపర్ రిమోట్ వనరు నుండి తుది పేలోడ్ను తిరిగి పొందుతుంది.
దాడి చేసేవారు వివిధ ప్రారంభ మాల్వేర్ డ్రాపర్లతో ప్రయోగాలు చేశారు, వాటితో సహా:
- జావాస్క్రిప్ట్ డ్రాపర్ (JS డ్రాపర్) PEలు లేదా DLLలను డౌన్లోడ్ చేయడం మరియు అమలు చేయడం కోసం రూపొందించబడింది.
- XLL ఫైల్ సృష్టి కోసం ఉద్దేశించిన ఓపెన్-సోర్స్ ప్రాజెక్ట్ను ప్రభావితం చేసే Excel-DNA లోడర్, మాల్వేర్ను డౌన్లోడ్ చేయడం మరియు అమలు చేయడం కోసం ఇక్కడ ఉపయోగించబడింది.
- VBS (వర్చువల్ బేసిక్ స్క్రిప్ట్) డౌన్లోడ్లు మైక్రోసాఫ్ట్ ఆఫీస్ డాక్యుమెంట్లలోని .vbs ఫైల్ల ద్వారా మాల్వేర్ను అమలు చేయగల సామర్థ్యం లేదా కమాండ్-లైన్ ఎక్జిక్యూటబుల్లను అమలు చేయగలవు.
- మాల్వేర్ని డౌన్లోడ్ చేయడానికి మరియు అమలు చేయడానికి మైక్రోసాఫ్ట్ షార్ట్కట్ ఫైల్లను (.lnk) దుర్వినియోగం చేసే LNK డౌన్లోడర్లు.
సెప్టెంబరు 2023 అంతటా, ఈ దాడులలో డార్క్గేట్ మాల్వేర్ చివరి పేలోడ్గా పనిచేసింది, అయితే ఇది అక్టోబర్ 2023లో PikaBot ద్వారా భర్తీ చేయబడింది.
PikaBot విస్తృతమైన వ్యతిరేక విశ్లేషణ చర్యలను కలిగి ఉంది
2023 ప్రారంభంలో పరిచయం చేయబడింది, PikaBot అనేది లోడర్ మరియు కోర్ మాడ్యూల్తో కూడిన సమకాలీన మాల్వేర్, ఇది బలమైన యాంటీ-డీబగ్గింగ్, యాంటీ-వీఎం మరియు యాంటీ-ఎమ్యులేషన్ మెకానిజమ్లను కలిగి ఉంటుంది. ఈ మాల్వేర్ సోకిన సిస్టమ్లను నిశితంగా ప్రొఫైల్ చేస్తుంది మరియు సేకరించిన డేటాను దాని కమాండ్ అండ్ కంట్రోల్ (C2) ఇన్ఫ్రాస్ట్రక్చర్కు ప్రసారం చేస్తుంది, ఇక్కడ అది తదుపరి సూచనల కోసం వేచి ఉంది.
DLL లేదా PE ఫైల్లు, షెల్కోడ్ లేదా కమాండ్-లైన్ కమాండ్ల రూపంలో లభ్యమయ్యే మాడ్యూల్లను డౌన్లోడ్ చేయడానికి మరియు అమలు చేయడానికి మాల్వేర్ను నిర్దేశించే ఆదేశాలను C2 జారీ చేస్తుంది, దాని బహుముఖ ప్రజ్ఞను ఒక సాధనంగా ప్రదర్శిస్తుంది.
PikaBot మరియు DarkGate ప్రచారాలు సాధారణ ఫిషర్ల నైపుణ్యాలను అధిగమించే నైపుణ్యం కలిగిన ముప్పు నటులచే నిర్వహించబడుతున్నాయని పరిశోధకులు హెచ్చరిస్తున్నారు. పర్యవసానంగా, ఈ ప్రచారంతో పరస్పర సంబంధం ఉన్న వ్యూహాలు, సాంకేతికతలు మరియు విధానాలు (TTPలు) గురించి సంస్థలు తమను తాము పరిచయం చేసుకోవాలని కోరారు.