Malware PikaBot
Los investigadores de Infosec han detectado una campaña de phishing altamente sofisticada que incorpora el malware PikaBot, marcándola como la operación de phishing más avanzada desde que se desmanteló la operación Qakbot . Esta campaña de correo electrónico fraudulento comenzó en septiembre de 2023, tras la exitosa incautación y cierre por parte del FBI de la infraestructura de QBot (Qakbot).
Según los investigadores, antes de PikaBot, la campaña de ataque utilizaba principalmente una amenaza llamada Dark Gate . Los trucos y técnicas empleadas por los atacantes reflejan fielmente los vistos en campañas anteriores de Qakbot, lo que sugiere una transición de los actores de amenazas de Qbot a botnets de malware más nuevas.
Qbot se encontraba entre las botnets de malware más extendidas difundidas por correo electrónico. Ahora, DarkGate y PikaBot, que comparten numerosas características con Qbot como cargadores modulares de malware, presentan una amenaza importante para las empresas. Al igual que Qbot, se espera que estos nuevos cargadores de malware sean empleados por actores de amenazas para obtener acceso inicial a las redes, lo que podría provocar ataques de ransomware, espionaje y robo de datos.
PikaBot se entrega mediante ataques de phishing
Los investigadores de Infosec han observado un aumento significativo en los correos electrónicos relacionados con fraudes que propagan el malware DarkGate, y los actores de amenazas pasaron a implementar PikaBot como carga útil principal a partir de octubre de 2023. La campaña de phishing comienza con un correo electrónico disfrazado de respuesta o antes de una discusión robada. hilo, una táctica destinada a fomentar la confianza entre los destinatarios.
Al hacer clic en la URL incrustada, los usuarios se someten a una serie de comprobaciones para confirmar su validez como objetivos y posteriormente se les solicita que descarguen un archivo ZIP que contiene un gotero de malware. Este cuentagotas recupera la carga útil final de un recurso remoto.
Los atacantes experimentaron con varios programas iniciales de malware para determinar su efectividad, entre ellos:
- Un cuentagotas de JavaScript (JS Dropper) está diseñado para descargar y ejecutar PE o DLL.
- Un cargador Excel-DNA que aprovecha un proyecto de código abierto destinado a la creación de archivos XLL, explotado aquí para descargar y ejecutar malware.
- Descargadores de VBS (Virtual Basic Script) capaces de ejecutar malware a través de archivos .vbs en documentos de Microsoft Office o invocar ejecutables de línea de comandos.
- Descargadores de LNK que hacen un mal uso de los archivos de acceso directo de Microsoft (.lnk) para descargar y ejecutar malware.
A lo largo de septiembre de 2023, el malware DarkGate sirvió como carga útil final en estos ataques, pero posteriormente fue reemplazado por PikaBot en octubre de 2023.
PikaBot tiene amplias medidas antianálisis
Introducido a principios de 2023, PikaBot es un malware contemporáneo que comprende un cargador y un módulo central, equipado con sólidos mecanismos anti-depuración, anti-VM y anti-emulación. Este malware perfila meticulosamente los sistemas infectados y transmite los datos recopilados a su infraestructura de comando y control (C2), donde espera más instrucciones.
El C2 emite comandos que dirigen al malware a descargar y ejecutar módulos, disponibles en forma de archivos DLL o PE, código shell o comandos de línea de comandos, lo que muestra su versatilidad como herramienta.
Los investigadores advierten que las campañas de PikaBot y DarkGate están orquestadas por expertos actores de amenazas cuyas habilidades superan las de los phishers típicos. En consecuencia, se insta a las organizaciones a familiarizarse con las Tácticas, Técnicas y Procedimientos (TTP) correlacionadas con esta campaña.
