Phần mềm độc hại PikaBot

Các nhà nghiên cứu của Infosec đã phát hiện một chiến dịch lừa đảo cực kỳ tinh vi kết hợp với phần mềm độc hại PikaBot, đánh dấu đây là hoạt động lừa đảo tiên tiến nhất kể từ khi dỡ bỏ hoạt động Qakbot . Chiến dịch email lừa đảo này bắt đầu vào tháng 9 năm 2023, sau khi FBI chiếm giữ thành công và đóng cửa cơ sở hạ tầng của QBot (Qakbot).

Theo các nhà nghiên cứu, trước PikaBot, chiến dịch tấn công chủ yếu sử dụng mối đe dọa có tên Dark Gate . Các thủ thuật và kỹ thuật mà những kẻ tấn công sử dụng phản ánh chặt chẽ những gì đã thấy trong các chiến dịch Qakbot trước đây, cho thấy sự chuyển đổi của các tác nhân đe dọa Qbot sang các mạng botnet phần mềm độc hại mới hơn.

Qbot là một trong những botnet phần mềm độc hại phổ biến nhất được phát tán qua email. Giờ đây, DarkGate và PikaBot, chia sẻ nhiều tính năng với Qbot dưới dạng trình tải phần mềm độc hại theo mô-đun, là mối đe dọa đáng kể cho các doanh nghiệp. Tương tự như Qbot, những trình tải phần mềm độc hại mới này dự kiến sẽ được các tác nhân đe dọa sử dụng để giành quyền truy cập ban đầu vào mạng, có khả năng dẫn đến các cuộc tấn công ransomware, gián điệp và đánh cắp dữ liệu.

PikaBot được phân phối thông qua các cuộc tấn công lừa đảo

Các nhà nghiên cứu của Infosec đã quan sát thấy sự gia tăng đáng kể các email liên quan đến gian lận phát tán phần mềm độc hại DarkGate, trong đó các tác nhân đe dọa chuyển sang triển khai PikaBot làm trọng tải chính bắt đầu từ tháng 10 năm 2023. Chiến dịch lừa đảo bắt đầu bằng một email giả mạo là một câu trả lời hoặc chuyển tiếp một cuộc thảo luận bị ăn cắp chủ đề, một chiến thuật nhằm mục đích củng cố niềm tin giữa những người nhận.

Khi nhấp vào URL được nhúng, người dùng sẽ trải qua một loạt kiểm tra để xác nhận tính hợp lệ của chúng là mục tiêu, sau đó được nhắc tải xuống kho lưu trữ ZIP chứa trình nhỏ giọt phần mềm độc hại. Dropper này lấy tải trọng cuối cùng từ một tài nguyên từ xa.

Những kẻ tấn công đã thử nghiệm nhiều loại phần mềm độc hại ban đầu khác nhau để xác định tính hiệu quả, bao gồm:

• Trình nhỏ giọt JavaScript (JS Dropper) được thiết kế để tải xuống và thực thi PE hoặc DLL.
• Trình tải Excel-DNA tận dụng dự án nguồn mở nhằm mục đích tạo tệp XLL, bị khai thác tại đây để tải xuống và chạy phần mềm độc hại.
• Trình tải xuống VBS (Virtual Basic Script) có khả năng thực thi phần mềm độc hại thông qua tệp .vbs trong tài liệu Microsoft Office hoặc gọi các tệp thực thi dòng lệnh.
• Những kẻ tải xuống LNK lạm dụng các tệp lối tắt của Microsoft (.lnk) để tải xuống và thực thi phần mềm độc hại.

Trong suốt tháng 9 năm 2023, phần mềm độc hại DarkGate đóng vai trò là trọng tải cuối cùng trong các cuộc tấn công này, nhưng sau đó nó đã được thay thế bằng PikaBot vào tháng 10 năm 2023.

PikaBot có các biện pháp chống phân tích mở rộng

Được giới thiệu vào đầu năm 2023, PikaBot là một phần mềm độc hại hiện đại bao gồm một trình tải và một mô-đun lõi, được trang bị các cơ chế chống gỡ lỗi, chống VM và chống mô phỏng mạnh mẽ. Phần mềm độc hại này lập hồ sơ tỉ mỉ các hệ thống bị nhiễm và truyền dữ liệu thu thập được đến cơ sở hạ tầng chỉ huy và kiểm soát (C2) của nó, nơi nó chờ hướng dẫn thêm.

C2 đưa ra các lệnh hướng dẫn phần mềm độc hại tải xuống và thực thi các mô-đun, có sẵn ở dạng tệp DLL hoặc PE, shellcode hoặc lệnh dòng lệnh, cho thấy tính linh hoạt của nó như một công cụ.

Các nhà nghiên cứu cảnh báo rằng các chiến dịch PikaBot và DarkGate được dàn dựng bởi những kẻ đe dọa lão luyện có kỹ năng vượt trội so với những kẻ lừa đảo thông thường. Do đó, các tổ chức được khuyến khích làm quen với Chiến thuật, Kỹ thuật và Quy trình (TTP) tương quan với chiến dịch này.