Trend Micro je primijetio kako Water Curupira aktivno propagira Pikabot loader malver u sklopu kampanja, nešto agresivnije u četvrtom kvartalu 2023. Water Curupira je podružnica Black Basta ransomware-a.
Zaronimo u detalje
Pikabot je stekao slavu zbog svog sofisticiranog višestepenog mehanizma napada, sposobnog za implementaciju dešifrovanog shell koda koji izdvaja drugu DLL datoteku, stvarni payload.
- Upotreba Pikabota od strane Water Curupira u phishing kampanjama je u skladu s njihovom strategijom za distribuciju backdoor-a kao što je Cobalt Strike, što potencijalno dovodi do napada Black Basta ransomware-a.
- Haker je takođe vodio nekoliko DarkGate i IcedID kampanja za neželjenu poštu, prvenstveno se okrenuvši ka Pikabotu kasnije tokom godine.
Proces infekcije
Pikabotov početni pristup mašinama žrtve je obično putem neželjene e-pošte koja sadrži maliciozne arhive ili PDF priloge.
- Ove e-poruke koriste thread-hijacking tehnike, gdje se postojeće e-poruke otimaju kako bi se stvorile uvjerljive maliciozne poruke.
- Prilozi, koji mogu biti arhive zaštićene lozinkom ili obmanjujući PDF-ovi, pokreću prvu fazu napada malverom.
- Pikabot navodno pokazuje karakteristike slične Qakbot malveru i radi kao dvokomponentni sistem: loader i osnovni modul.
- Ove komponente omogućavaju neovlašteni daljinski pristup i omogućavaju izvršavanje komandi preko servera za komandu i kontrolu.
Zaključak
Evolucija Pikabota od sekundarnog alata do primarnog vektora za distribuciju malvera naglašava agilnost i prilagodljivost sajber kriminalaca. Da bi ublažili takve prijetnje, korisnici moraju biti oprezni s prilozima e-pošte i provjeriti autentičnost pošiljaoca. Organizacijama se savjetuje da usvoje višeslojni sigurnosni pristup, uključujući zaštitu krajnjih tačaka, napredno otkrivanje prijetnji i redovne sigurnosne kopije podataka. Ove strategije, zajedno sa svjesnošću i obrazovanjem, ključne su u obrani od sofisticiranih prijetnji poput Pikabota.
Izvor: Cyware Alerts – Hacker News