Logiciel malveillant PikaBot

Les chercheurs d'Infosec ont détecté une campagne de phishing très sophistiquée intégrant le malware PikaBot, la marquant comme l'opération de phishing la plus avancée depuis le démantèlement de l'opération Qakbot . Cette campagne de courrier électronique frauduleux a débuté en septembre 2023, à la suite de la saisie et de la fermeture réussies par le FBI de l'infrastructure de QBot (Qakbot).

Selon les chercheurs, avant PikaBot, la campagne d'attaque utilisait principalement une menace appelée Dark Gate . Les astuces et techniques employées par les attaquants reflètent étroitement celles observées lors des campagnes Qakbot précédentes, suggérant une transition des acteurs de la menace Qbot vers de nouveaux botnets de logiciels malveillants.

Qbot faisait partie des botnets malveillants les plus répandus diffusés par courrier électronique. Désormais, DarkGate et PikaBot, qui partagent de nombreuses fonctionnalités avec Qbot en tant que chargeurs de logiciels malveillants modulaires, représentent une menace importante pour les entreprises. Semblables à Qbot, ces nouveaux chargeurs de logiciels malveillants devraient être utilisés par les acteurs malveillants pour obtenir un premier accès aux réseaux, ce qui pourrait conduire à des attaques de ransomware, d'espionnage et de vol de données.

PikaBot est livré via des attaques de phishing

Les chercheurs d'Infosec ont observé une augmentation significative du nombre d'e-mails frauduleux propageant le malware DarkGate, les acteurs malveillants passant au déploiement de PikaBot comme charge utile principale à partir d'octobre 2023. La campagne de phishing démarre par un e-mail se faisant passer pour une réponse ou avant une discussion volée. fil, une tactique visant à favoriser la confiance entre les destinataires.

En cliquant sur l'URL intégrée, les utilisateurs subissent une série de vérifications pour confirmer leur validité en tant que cibles, puis sont invités à télécharger une archive ZIP hébergeant un compte-gouttes de malware. Ce compte-gouttes récupère la charge utile finale d'une ressource distante.

Les attaquants ont expérimenté différents suppressions initiales de logiciels malveillants pour déterminer leur efficacité, notamment :

• Un compte-gouttes JavaScript (JS Dropper) est conçu pour télécharger et exécuter des PE ou des DLL.
• Un chargeur Excel-DNA exploitant un projet open source destiné à la création de fichiers XLL, exploité ici pour télécharger et exécuter des logiciels malveillants.
• Téléchargeurs VBS (Virtual Basic Script) capables d'exécuter des logiciels malveillants via des fichiers .vbs dans des documents Microsoft Office ou d'invoquer des exécutables de ligne de commande.
• Téléchargeurs LNK qui utilisent à mauvais escient les fichiers de raccourci Microsoft (.lnk) pour télécharger et exécuter des logiciels malveillants.

Tout au long du mois de septembre 2023, le malware DarkGate a servi de charge utile finale à ces attaques, mais il a ensuite été remplacé par PikaBot en octobre 2023.

PikaBot dispose de nombreuses mesures anti-analyse

Introduit début 2023, PikaBot est un malware contemporain comprenant un chargeur et un module central, équipé de robustes mécanismes anti-débogage, anti-VM et anti-émulation. Ce malware profile méticuleusement les systèmes infectés et transmet les données collectées à son infrastructure de commande et de contrôle (C2), où il attend des instructions supplémentaires.

Le C2 émet des commandes indiquant au malware de télécharger et d'exécuter des modules, disponibles sous la forme de fichiers DLL ou PE, de shellcode ou de commandes de ligne de commande, démontrant sa polyvalence en tant qu'outil.

Les chercheurs préviennent que les campagnes PikaBot et DarkGate sont orchestrées par des acteurs malveillants dont les compétences dépassent celles des phishers classiques. Par conséquent, les organisations sont invitées à se familiariser avec les tactiques, techniques et procédures (TTP) liées à cette campagne.