Hakeri koji stoje iza PikaBot malvera napravili su značajne promjene u malveru u onome što je opisano kao slučaj “devolucije”.
“Iako se čini da je u novom razvojnom ciklusu i fazi testiranja, programeri su smanjili složenost koda uklanjanjem naprednih tehnika zamagljivanja i promjenom mrežne komunikacije”, rekao je Nikolaos Pantazopoulos, istraživač Zscaler ThreatLabza.
PikaBot, koji je prvi put dokumentovala firma za sajber sigurnost u maju 2023. godine, je učitavač zlonamjernog softvera i backdoor koji može izvršavati komande i ubrizgavati korisne podatke sa servera za naredbu i kontrolu (C2), kao i omogućiti napadaču da kontroliše zaraženi host.
Takođe je poznato da zaustavlja njegovo izvršavanje ako jezik sistema bude ruski ili ukrajinski, što ukazuje da su operateri u Rusiji ili Ukrajini.
Posljednjih mjeseci, i PikaBot i još jedan loader pod nazivom DarkGate su se pojavili kao atraktivna zamjena za hakere kao što je Water Curupira (aka TA577) da dobiju početni pristup ciljnim mrežama putem phishing kampanja i odbace Cobalt Strike.
Zscalerova analiza nove verzije PikaBot-a (verzija 1.18.32) koja je primijećena ovog mjeseca otkrila je njegov kontinuirani fokus na zamagljivanje, iako sa jednostavnijim algoritmima šifriranja, i umetanje neželjenog koda između valjanih instrukcija kao dio njegovih napora da se odupre analizi.
Još jedna ključna modifikacija uočena u posljednjoj iteraciji je da se cijela konfiguracija bota — koja je slična onoj kod QakBota — pohranjuje u otvorenom tekstu u jednom memorijskom bloku za razliku od šifriranja svakog elementa i dekodiranja u toku rada.
Treća promjena se tiče mrežne komunikacije C2 servera, pri čemu su programeri malvera podesili ID-ove komandi i algoritam šifriranja koji se koristi za osiguranje prometa.
“Uprkos nedavnoj neaktivnosti, PikaBot i dalje predstavlja značajnu sajber prijetnju i u stalnom je razvoju”, zaključili su istraživači.
“Međutim, programeri su odlučili da zauzmu drugačiji pristup i smanje nivo složenosti PikaBotovog koda uklanjanjem naprednih funkcija zamagljivanja.”
Razvoj događaja dolazi kada je Proofpoint upozoren na tekuću kampanju preuzimanja naloga u oblaku (ATO) koja je ciljala na desetine Microsoft Azure okruženja i kompromitovala stotine korisničkih naloga, uključujući i one koji pripadaju višim rukovodiocima.
Aktivnost, koja je u toku od novembra 2023. godine, izdvaja korisnike sa individualizovanim phishing mamcima koji nose varalice koje sadrže linkove na zlonamerne phishing web stranice za prikupljanje kredencijala i koriste ih za naknadnu eksfiltraciju podataka, internu i eksternu krađu identiteta i finansijske prevare.
Izvor: The Hacker News