PikaBot Kötü Amaçlı Yazılım

Infosec araştırmacıları, PikaBot kötü amaçlı yazılımını içeren son derece karmaşık bir kimlik avı kampanyası tespit etti ve bu saldırıyı, Qakbot operasyonunun sona ermesinden bu yana en gelişmiş kimlik avı operasyonu olarak belirledi. Bu sahte e-posta kampanyası, FBI'ın QBot'un (Qakbot) altyapısını başarıyla ele geçirip kapatmasının ardından Eylül 2023'te başladı.

Araştırmacılara göre PikaBot'tan önce saldırı kampanyasında öncelikli olarak Karanlık Kapı adı verilen bir tehdit kullanılıyordu. Saldırganların kullandığı hileler ve teknikler, önceki Qakbot saldırılarında görülenleri yakından yansıtıyor ve bu da Qbot tehdit aktörlerinin daha yeni kötü amaçlı yazılım botnet'lerine geçiş yaptığını gösteriyor.

Qbot, e-posta yoluyla yayılan en yaygın kötü amaçlı yazılım botnet'leri arasındaydı. Modüler kötü amaçlı yazılım yükleyicileri olarak Qbot ile birçok özelliği paylaşan DarkGate ve PikaBot artık işletmeler için önemli bir tehdit oluşturuyor. Qbot'a benzer şekilde, bu yeni kötü amaçlı yazılım yükleyicilerinin de tehdit aktörleri tarafından ağlara ilk erişim sağlamak için kullanılması ve potansiyel olarak fidye yazılımı, casusluk ve veri hırsızlığı saldırılarına yol açması bekleniyor.

PikaBot, Kimlik Avı Saldırıları Yoluyla Teslim Ediliyor

Infosec araştırmacıları, DarkGate kötü amaçlı yazılımını yayan dolandırıcılık bağlantılı e-postalarda önemli bir artış gözlemledi; tehdit aktörleri, Ekim 2023'ten itibaren birincil yük olarak PikaBot'u kullanmaya başladı. Kimlik avı kampanyası, çalınan bir tartışmaya yanıt veya ileti olarak gizlenen bir e-postayla başlıyor. alıcılar arasında güveni artırmayı amaçlayan bir taktik.

Gömülü URL'yi tıklattıktan sonra kullanıcılar, hedef olarak geçerliliklerini doğrulamak için bir dizi kontrolden geçiyor ve ardından kötü amaçlı yazılım düşürücüyü barındıran bir ZIP arşivini indirmeleri isteniyor. Bu damlalık, uzak bir kaynaktan son yükü alır.

Saldırganlar, etkinliğini belirlemek için başlangıçta çeşitli kötü amaçlı yazılım düşürücülerle deneyler yaptı; bunlar arasında şunlar yer almaktadır:

• Bir JavaScript damlalığı (JS Damlalığı), PE'leri veya DLL'leri indirmek ve yürütmek için tasarlanmıştır.
• XLL dosyası oluşturmaya yönelik açık kaynaklı bir projeden yararlanan bir Excel-DNA yükleyici, burada kötü amaçlı yazılımların indirilmesi ve çalıştırılması için kullanılır.
• Microsoft Office belgelerindeki .vbs dosyaları aracılığıyla kötü amaçlı yazılım çalıştırabilen veya komut satırında yürütülebilir dosyaları çağırabilen VBS (Virtual Basic Komut Dosyası) indiricileri.
• Kötü amaçlı yazılım indirmek ve yürütmek için Microsoft kısayol dosyalarını (.lnk) kötüye kullanan LNK indiricileri.

Eylül 2023 boyunca DarkGate kötü amaçlı yazılımı bu saldırılarda son yük olarak görev yaptı, ancak daha sonra Ekim 2023'te yerini PikaBot aldı.

PikaBot Kapsamlı Anti-Analiz Önlemlerine Sahiptir

2023'ün başlarında piyasaya sürülen PikaBot, güçlü hata ayıklama önleme, VM önleme ve öykünme önleme mekanizmalarıyla donatılmış, bir yükleyici ve bir çekirdek modülden oluşan çağdaş bir kötü amaçlı yazılımdır. Bu kötü amaçlı yazılım, virüslü sistemlerin profilini titizlikle çıkarıyor ve toplanan verileri, daha fazla talimat beklediği komuta ve kontrol (C2) altyapısına aktarıyor.

C2, kötü amaçlı yazılımı DLL veya PE dosyaları, kabuk kodu veya komut satırı komutları biçiminde bulunan modülleri indirmeye ve yürütmeye yönlendiren komutlar verir ve bir araç olarak çok yönlülüğünü gösterir.

Araştırmacılar, PikaBot ve DarkGate kampanyalarının, becerileri tipik kimlik avcılarınınkini aşan usta tehdit aktörleri tarafından düzenlendiği konusunda uyarıyor. Sonuç olarak, kuruluşların bu kampanyayla ilişkili Taktikler, Teknikler ve Prosedürler (TTP'ler) hakkında bilgi sahibi olmaları teşvik edilmektedir.