มัลแวร์ PikaBot

นักวิจัยของ Infosec ตรวจพบแคมเปญฟิชชิ่งที่มีความซับซ้อนสูงซึ่งมีมัลแวร์ PikaBot ถือเป็นการดำเนินการฟิชชิ่งที่ทันสมัยที่สุดนับตั้งแต่การแยกการดำเนินการของ Qakbot ออก แคมเปญอีเมลหลอกลวงนี้เริ่มต้นในเดือนกันยายน 2023 หลังจากการยึดและปิดโครงสร้างพื้นฐานของ QBot (Qakbot) ของ FBI ประสบความสำเร็จ

ตามที่นักวิจัยก่อน PikaBot แคมเปญการโจมตีใช้ภัยคุกคามที่เรียกว่า Dark Gate เป็นหลัก เทคนิคและเทคนิคที่ผู้โจมตีใช้นั้นสะท้อนให้เห็นในแคมเปญ Qakbot ก่อนหน้านี้อย่างใกล้ชิด โดยแนะนำการเปลี่ยนผู้แสดงภัยคุกคาม Qbot ไปเป็นบอตเน็ตมัลแวร์รุ่นใหม่

Qbot เป็นหนึ่งในบอตเน็ตมัลแวร์ที่แพร่หลายที่สุดที่เผยแพร่ผ่านทางอีเมล ขณะนี้ DarkGate และ PikaBot ซึ่งแบ่งปันคุณสมบัติมากมายกับ Qbot ในฐานะตัวโหลดมัลแวร์แบบแยกส่วน ก่อให้เกิดภัยคุกคามที่สำคัญต่อองค์กร เช่นเดียวกับ Qbot ตัวโหลดมัลแวร์ใหม่เหล่านี้คาดว่าจะถูกใช้งานโดยผู้คุกคามเพื่อเข้าถึงเครือข่ายเบื้องต้น ซึ่งอาจนำไปสู่การโจมตีด้วยแรนซัมแวร์ การจารกรรม และการโจรกรรมข้อมูล

PikaBot ถูกส่งผ่านการโจมตีแบบฟิชชิ่ง

นักวิจัยของ Infosec ได้สังเกตเห็นการเพิ่มขึ้นของอีเมลที่เกี่ยวข้องกับการฉ้อโกงที่แพร่กระจายมัลแวร์ DarkGate เพิ่มขึ้นอย่างมาก โดยผู้คุกคามเปลี่ยนมาใช้ PikaBot เป็นเพย์โหลดหลักเริ่มในเดือนตุลาคม 2023 แคมเปญฟิชชิ่งเริ่มต้นด้วยอีเมลที่ปลอมแปลงเป็นการตอบกลับหรือส่งต่อการสนทนาที่ถูกขโมย thread ซึ่งเป็นกลยุทธ์ที่มุ่งสร้างความไว้วางใจระหว่างผู้รับ

เมื่อคลิก URL ที่ฝังไว้ ผู้ใช้จะได้รับการตรวจสอบหลายครั้งเพื่อยืนยันความถูกต้องของตนในฐานะเป้าหมาย จากนั้นจะได้รับแจ้งให้ดาวน์โหลดไฟล์ ZIP ที่มีตัวหยดมัลแวร์ ตัวหยดนี้จะดึงข้อมูลเพย์โหลดสุดท้ายจากทรัพยากรระยะไกล

ผู้โจมตีทดลองใช้ตัวปล่อยมัลแวร์เริ่มแรกหลายตัวเพื่อตรวจสอบประสิทธิภาพ รวมถึง:

• JavaScript dropper (JS Dropper) ได้รับการออกแบบมาเพื่อการดาวน์โหลดและดำเนินการ PE หรือ DLL
• ตัวโหลด Excel-DNA ใช้ประโยชน์จากโปรเจ็กต์โอเพ่นซอร์สที่มีไว้สำหรับการสร้างไฟล์ XLL ซึ่งถูกใช้ที่นี่เพื่อดาวน์โหลดและเรียกใช้มัลแวร์
• โปรแกรมดาวน์โหลด VBS (Virtual Basic Script) สามารถเรียกใช้มัลแวร์ผ่านไฟล์ .vbs ในเอกสาร Microsoft Office หรือเรียกใช้โปรแกรมปฏิบัติการบรรทัดคำสั่ง
• โปรแกรมดาวน์โหลด LNK ที่ใช้ไฟล์ทางลัดของ Microsoft (.lnk) ในทางที่ผิดเพื่อดาวน์โหลดและเรียกใช้มัลแวร์

ตลอดเดือนกันยายน 2023 มัลแวร์ DarkGate ทำหน้าที่เป็นเพย์โหลดสุดท้ายในการโจมตีเหล่านี้ แต่ต่อมาถูกแทนที่โดย PikaBot ในเดือนตุลาคม 2023

PikaBot มีมาตรการต่อต้านการวิเคราะห์ที่ครอบคลุม

PikaBot เปิดตัวเมื่อต้นปี 2566 เป็นมัลแวร์ร่วมสมัยที่ประกอบด้วยตัวโหลดและโมดูลหลัก พร้อมด้วยกลไกป้องกันการดีบัก, ต่อต้าน VM และต่อต้านการจำลองที่แข็งแกร่ง มัลแวร์นี้โปรไฟล์ระบบที่ติดไวรัสอย่างพิถีพิถัน และส่งข้อมูลที่รวบรวมไปยังโครงสร้างพื้นฐานคำสั่งและการควบคุม (C2) ซึ่งรอคำแนะนำเพิ่มเติม

คำสั่ง C2 ออกคำสั่งให้มัลแวร์ดาวน์โหลดและรันโมดูลซึ่งมีอยู่ในรูปแบบของไฟล์ DLL หรือ PE, เชลล์โค้ด หรือคำสั่งบรรทัดคำสั่ง ซึ่งแสดงให้เห็นถึงความอเนกประสงค์ในฐานะเครื่องมือ

นักวิจัยเตือนว่าแคมเปญ PikaBot และ DarkGate ได้รับการจัดเตรียมโดยผู้แสดงภัยคุกคามที่เชี่ยวชาญซึ่งมีทักษะเหนือกว่าฟิชชิ่งทั่วไป ด้วยเหตุนี้ องค์กรต่างๆ จึงได้รับการกระตุ้นให้ทำความคุ้นเคยกับยุทธวิธี เทคนิค และขั้นตอนปฏิบัติ (TTP) ที่เกี่ยวข้องกับการรณรงค์นี้