PikaBot Malware
Natuklasan ng mga mananaliksik ng Infosec ang isang napaka-sopistikadong kampanya sa phishing na nagsasama ng PikaBot malware, na minarkahan ito bilang ang pinaka-advanced na operasyon ng phishing mula nang buwagin ang operasyon ng Qakbot . Nagsimula ang mapanlinlang na email campaign na ito noong Setyembre 2023, kasunod ng matagumpay na pag-agaw at pagsasara ng FBI sa imprastraktura ng QBot (Qakbot).
Ayon sa mga mananaliksik, bago ang PikaBot, ang kampanya ng pag-atake ay pangunahing gumamit ng banta na tinatawag na Dark Gate . Ang mga trick at diskarte na ginamit ng mga umaatake ay malapit na sumasalamin sa mga nakita sa nakaraang mga kampanya ng Qakbot, na nagmumungkahi ng paglipat ng mga aktor ng pagbabanta ng Qbot sa mas bagong mga botnet ng malware.
Ang Qbot ay kabilang sa mga pinakalaganap na botnet ng malware na ipinakalat sa pamamagitan ng email. Ngayon, ang DarkGate at PikaBot, na nagbabahagi ng maraming feature sa Qbot bilang modular malware loader, ay nagpapakita ng malaking banta sa mga negosyo. Katulad ng Qbot, ang mga bagong malware loader na ito ay inaasahang gagamitin ng mga banta ng aktor upang makakuha ng paunang access sa mga network, na posibleng humahantong sa ransomware, espionage at pag-atake ng pagnanakaw ng data.
Ang PikaBot ay Inihahatid sa pamamagitan ng Phishing Attacks
Napansin ng mga mananaliksik ng Infosec ang isang makabuluhang pag-akyat sa mga email na nauugnay sa pandaraya na nagpapalaganap ng DarkGate malware, kung saan ang mga aktor ng banta ay lumipat sa pag-deploy ng PikaBot bilang pangunahing payload simula sa Oktubre 2023. Ang kampanya ng phishing ay nagsisimula sa isang email na nagpapanggap bilang tugon o pasulong ng isang ninakawan na talakayan thread, isang taktika na naglalayong pasiglahin ang tiwala ng mga tatanggap.
Sa pag-click sa naka-embed na URL, ang mga user ay sumasailalim sa isang serye ng mga pagsusuri upang kumpirmahin ang kanilang bisa bilang mga target, pagkatapos ay sinenyasan na mag-download ng ZIP archive na naglalaman ng malware dropper. Kinukuha ng dropper na ito ang huling payload mula sa isang malayong mapagkukunan.
Ang mga umaatake ay nag-eksperimento sa iba't ibang paunang malware dropper upang matukoy ang pagiging epektibo, kabilang ang:
- Ang isang JavaScript dropper (JS Dropper) ay idinisenyo para sa pag-download at pag-execute ng mga PE o DLL.
- Isang Excel-DNA loader na gumagamit ng open-source na proyekto na nilayon para sa paggawa ng XLL file, na pinagsamantalahan dito para sa pag-download at pagpapatakbo ng malware.
- Mga downloader ng VBS (Virtual Basic Script) na may kakayahang mag-execute ng malware sa pamamagitan ng mga .vbs file sa mga dokumento ng Microsoft Office o mag-invoke ng mga command-line executable.
- Ang mga nagda-download ng LNK na gumagamit ng maling mga Microsoft shortcut file (.lnk) upang mag-download at magsagawa ng malware.
Sa buong Setyembre 2023, ang DarkGate malware ang nagsilbing huling payload sa mga pag-atakeng ito, ngunit pagkatapos ay pinalitan ito ng PikaBot noong Oktubre 2023.
Ang PikaBot ay May Malawak na Mga Panukala na Anti-Analysis
Ipinakilala noong unang bahagi ng 2023, ang PikaBot ay isang kontemporaryong malware na binubuo ng loader at isang core module, na nilagyan ng mahusay na anti-debugging, anti-VM, at anti-emulation na mekanismo. Masusing pinoprofile ng malware na ito ang mga nahawaang system at inihahatid ang nakalap na data sa imprastraktura ng command and control (C2), kung saan naghihintay ito ng karagdagang mga tagubilin.
Nag-isyu ang C2 ng mga utos na nagdidirekta sa malware na mag-download at magsagawa ng mga module, na available sa anyo ng mga DLL o PE file, shellcode, o command-line na mga command, na nagpapakita ng versatility nito bilang isang tool.
Nag-iingat ang mga mananaliksik na ang mga kampanya ng PikaBot at DarkGate ay inayos ng mga mahuhusay na aktor ng pagbabanta na ang mga kasanayan ay higit pa sa mga karaniwang phisher. Dahil dito, hinihimok ang mga organisasyon na sanayin ang kanilang mga sarili sa Mga Tactics, Techniques, and Procedures (TTPs) na nauugnay sa kampanyang ito.
