Шкідливе програмне забезпечення PikaBot

Дослідники Infosec виявили дуже складну фішингову кампанію, яка включає шкідливе програмне забезпечення PikaBot, відзначивши її як найдосконалішу фішингову операцію з моменту демонтажу операції Qakbot . Ця шахрайська кампанія по електронній пошті почалася у вересні 2023 року після того, як ФБР успішно вилучило та припинило роботу інфраструктури QBot (Qakbot).

За словами дослідників, до PikaBot кампанія атаки в основному використовувала загрозу під назвою Dark Gate . Трюки та прийоми, використані зловмисниками, точно відображають ті, що спостерігалися в попередніх кампаніях Qakbot, що свідчить про перехід суб’єктів загрози Qbot до нових ботнетів зловмисного програмного забезпечення.

Qbot був одним із найпоширеніших ботнетів зловмисного програмного забезпечення, які поширювалися електронною поштою. Тепер DarkGate та PikaBot, які мають багато спільних функцій із Qbot як модульні завантажувачі зловмисного програмного забезпечення, становлять серйозну загрозу для підприємств. Подібно до Qbot, очікується, що ці нові завантажувачі зловмисного програмного забезпечення будуть використовуватися суб’єктами загроз для отримання початкового доступу до мереж, що потенційно може призвести до атак зловмисників, шпигунства та крадіжки даних.

PikaBot доставляється через фішингові атаки

Дослідники Infosec помітили значне зростання кількості електронних листів, пов’язаних із шахрайством, які поширюють зловмисне програмне забезпечення DarkGate, причому з жовтня 2023 року зловмисники переходять до використання PikaBot як основного корисного навантаження. Фішингова кампанія починається з електронного листа, який маскується під відповідь або пересилання вкраденої дискусії. нитка, тактика, спрямована на виховання довіри між одержувачами.

Після натискання вбудованої URL-адреси користувачі проходять серію перевірок, щоб підтвердити свою дійсність як цілі, згодом їм буде запропоновано завантажити ZIP-архів, у якому міститься дроп-програмне забезпечення. Цей дроппер отримує остаточне корисне навантаження з віддаленого ресурсу.

Щоб визначити ефективність, зловмисники експериментували з різними програмами-завантажувачами зловмисного програмного забезпечення, зокрема:

• Програма JavaScript Dropper (JS Dropper) призначена для завантаження та виконання PE або DLL.
• Завантажувач Excel-DNA, що використовує проект із відкритим вихідним кодом, призначений для створення файлів XLL, який використовується тут для завантаження та запуску зловмисного програмного забезпечення.
• Завантажувачі VBS (Virtual Basic Script), здатні запускати зловмисне програмне забезпечення через файли .vbs у документах Microsoft Office або викликати виконувані файли командного рядка.
• Завантажувачі LNK, які неправильно використовують файли ярликів Microsoft (.lnk) для завантаження та запуску зловмисного програмного забезпечення.

Протягом вересня 2023 року зловмисне програмне забезпечення DarkGate слугувало останнім корисним навантаженням у цих атаках, але згодом його замінив PikaBot у жовтні 2023 року.

PikaBot має широкі засоби антианалізу

PikaBot, представлений на початку 2023 року, — це сучасне зловмисне програмне забезпечення, що складається з завантажувача та основного модуля, оснащеного надійними механізмами захисту від налагодження, захисту від віртуальної машини та емуляції. Це зловмисне програмне забезпечення ретельно профілює заражені системи та передає зібрані дані до своєї інфраструктури командування та контролю (C2), де очікує подальших інструкцій.

C2 видає команди, які спрямовують зловмисне програмне забезпечення на завантаження та виконання модулів, доступних у формі файлів DLL або PE, коду оболонки або команд командного рядка, демонструючи його універсальність як інструменту.

Дослідники попереджають, що кампанії PikaBot і DarkGate організовані досвідченими діячами загроз, чиї навички перевершують навички типових фішерів. Отже, організаціям наполегливо пропонується ознайомитися з тактикою, технікою та процедурами (TTP), пов’язаними з цією кампанією.