PikaBot-Malware

Infosec-Forscher haben eine hochentwickelte Phishing-Kampagne mit der PikaBot-Malware entdeckt und sie als die fortschrittlichste Phishing-Operation seit der Zerschlagung der Qakbot- Operation bezeichnet. Diese betrügerische E-Mail-Kampagne begann im September 2023, nachdem das FBI die Infrastruktur von QBot (Qakbot) erfolgreich beschlagnahmt und abgeschaltet hatte.

Laut Forschern nutzte die Angriffskampagne vor PikaBot hauptsächlich eine Bedrohung namens Dark Gate . Die von den Angreifern eingesetzten Tricks und Techniken ähneln stark denen früherer Qakbot-Kampagnen, was auf einen Übergang der Qbot-Bedrohungsakteure zu neueren Malware-Botnets hindeutet.

Qbot gehörte zu den am weitesten verbreiteten Malware-Botnetzen, die per E-Mail verbreitet wurden. Jetzt stellen DarkGate und PikaBot, die als modulare Malware-Loader zahlreiche Funktionen mit Qbot teilen, eine erhebliche Bedrohung für Unternehmen dar. Ähnlich wie bei Qbot wird erwartet, dass diese neuen Malware-Loader von Bedrohungsakteuren eingesetzt werden, um sich ersten Zugriff auf Netzwerke zu verschaffen, was möglicherweise zu Ransomware-, Spionage- und Datendiebstahlangriffen führt.

PikaBot wird durch Phishing-Angriffe verbreitet

Infosec-Forscher haben einen deutlichen Anstieg betrugsbezogener E-Mails beobachtet, die die DarkGate-Malware verbreiten, wobei Bedrohungsakteure ab Oktober 2023 dazu übergehen, PikaBot als primäre Nutzlast einzusetzen. Die Phishing-Kampagne beginnt mit einer E-Mail, die als Antwort oder Weiterleitung einer gestohlenen Diskussion getarnt ist Thread, eine Taktik, die darauf abzielt, das Vertrauen der Empfänger zu stärken.

Beim Klicken auf die eingebettete URL werden Benutzer einer Reihe von Überprüfungen unterzogen, um ihre Gültigkeit als Ziel zu bestätigen. Anschließend werden sie aufgefordert, ein ZIP-Archiv mit einem Malware-Dropper herunterzuladen. Dieser Dropper ruft die endgültige Nutzlast von einer Remote-Ressource ab.

Die Angreifer experimentierten mit verschiedenen anfänglichen Malware-Droppern, um die Wirksamkeit zu ermitteln, darunter:

• Ein JavaScript-Dropper (JS Dropper) dient zum Herunterladen und Ausführen von PEs oder DLLs.
• Ein Excel-DNA-Loader, der ein Open-Source-Projekt zur Erstellung von XLL-Dateien nutzt und hier zum Herunterladen und Ausführen von Malware genutzt wird.
• VBS-Downloader (Virtual Basic Script) können Malware über .vbs-Dateien in Microsoft Office-Dokumenten ausführen oder ausführbare Befehlszeilendateien aufrufen.
• LNK-Downloader, die Microsoft-Verknüpfungsdateien (.lnk) missbrauchen, um Malware herunterzuladen und auszuführen.

Im September 2023 diente die DarkGate-Malware als letzte Nutzlast dieser Angriffe, wurde jedoch im Oktober 2023 durch PikaBot ersetzt.

PikaBot verfügt über umfangreiche Anti-Analyse-Maßnahmen

PikaBot wurde Anfang 2023 eingeführt und ist eine moderne Malware, die aus einem Loader und einem Kernmodul besteht und mit robusten Anti-Debugging-, Anti-VM- und Anti-Emulationsmechanismen ausgestattet ist. Diese Malware erstellt ein sorgfältiges Profil infizierter Systeme und überträgt die gesammelten Daten an ihre Command-and-Control-Infrastruktur (C2), wo sie auf weitere Anweisungen wartet.

Der C2 gibt Befehle aus, die die Malware anweisen, Module herunterzuladen und auszuführen, die in Form von DLL- oder PE-Dateien, Shellcode oder Befehlszeilenbefehlen verfügbar sind, und demonstriert so seine Vielseitigkeit als Tool.

Forscher warnen davor, dass die PikaBot- und DarkGate-Kampagnen von erfahrenen Bedrohungsakteuren orchestriert werden, deren Fähigkeiten die typischer Phisher übertreffen. Daher werden Organisationen dringend gebeten, sich mit den Taktiken, Techniken und Verfahren (TTPs) im Zusammenhang mit dieser Kampagne vertraut zu machen.