PikaBot 恶意软件

Infosec 研究人员发现了一个包含 PikaBot 恶意软件的高度复杂的网络钓鱼活动，将其标记为自拆除Qakbot操作以来最先进的网络钓鱼操作。这一欺诈性电子邮件活动于 2023 年 9 月开始，此前 FBI 成功扣押并关闭了 QBot (Qakbot) 基础设施。

研究人员表示，在 PikaBot 之前，攻击活动主要利用一种名为“Dark Gate”的威胁。攻击者采用的技巧和技术与之前的 Qakbot 活动中所见的技巧和技术非常相似，这表明 Qbot 威胁行为者已转向更新的恶意软件僵尸网络。

Qbot 是通过电子邮件传播的最广泛的恶意软件僵尸网络之一。现在，DarkGate 和 PikaBot 与Qbot共享许多功能，作为模块化恶意软件加载程序，对企业构成了重大威胁。与 Qbot 类似，这些新的恶意软件加载程序预计将被威胁行为者用来获得对网络的初始访问权限，从而可能导致勒索软件、间谍活动和数据盗窃攻击。

PikaBot 通过网络钓鱼攻击传播

Infosec 研究人员观察到，传播 DarkGate 恶意软件的欺诈相关电子邮件大幅增加，从 2023 年 10 月开始，威胁行为者开始将 PikaBot 部署为主要有效负载。网络钓鱼活动以伪装成回复或转发被盗讨论的电子邮件发起。 thread，一种旨在培养收件人之间信任的策略。

单击嵌入的 URL 后，用户会进行一系列检查以确认其作为目标的有效性，随后系统会提示下载包含恶意软件植入程序的 ZIP 存档。该释放器从远程资源检索最终的有效负载。

攻击者尝试了各种初始恶意软件植入程序以确定其有效性，包括：

• JavaScript dropper (JS Dropper) 设计用于下载和执行 PE 或 DLL。
• Excel-DNA 加载程序利用旨在创建 XLL 文件的开源项目，在此处用于下载和运行恶意软件。
• VBS（虚拟基本脚本）下载程序能够通过 Microsoft Office 文档中的 .vbs 文件或调用命令行可执行文件执行恶意软件。
• LNK 下载器滥用 Microsoft 快捷方式文件 (.lnk) 下载并执行恶意软件。

在整个 2023 年 9 月，DarkGate 恶意软件充当了这些攻击的最终有效负载，但随后在 2023 年 10 月被 PikaBot 取代。

PikaBot 拥有广泛的反分析措施

PikaBot 于 2023 年初推出，是一种当代恶意软件，由加载程序和核心模块组成，配备强大的反调试、反虚拟机和反模拟机制。该恶意软件会仔细分析受感染的系统，并将收集到的数据传输到其命令和控制 (C2) 基础设施，并在那里等待进一步的指令。

C2 发出命令，指示恶意软件下载并执行模块，这些模块以 DLL 或 PE 文件、shellcode 或命令行命令的形式提供，展示了其作为工具的多功能性。

研究人员警告说，PikaBot 和 DarkGate 活动是由熟练的威胁参与者精心策划的，他们的技能超过了典型的网络钓鱼者。因此，敦促组织熟悉与此活动相关的策略、技术和程序 (TTP)。