PikaBot Malware installeret sammen med DarkGate
Phishing-kampagner, der implementerer malware-familier som DarkGate og PikaBot, anvender strategier, der minder om tidligere angreb, der involverer den nu hedengangne QakBot-trojan. Ifølge en rapport fra Cofense delt med The Hacker News, omfatter disse taktikker initiering af infektioner gennem kompromitterede e-mail-tråde, brug af URL'er med særskilte mønstre for at begrænse brugeradgang og anvendelse af en infektionskæde, der ligner QakBot-leveringen.
De valgte malware-familier stemmer også overens med forventningerne til brug af QakBot-tilknyttede selskaber. QakBot, også kendt som QBot og Pinkslipbot, blev demonteret som en del af Operation Duck Hunt i august.
Adoptionen af DarkGate og PikaBot i disse kampagner er ikke overraskende i betragtning af deres evne til at fungere som kanaler til at levere yderligere nyttelast til kompromitterede værter, hvilket gør dem tiltalende muligheder for cyberkriminelle. Zscaler havde tidligere fremhævet parallellerne mellem PikaBot og QakBot i en analyse fra maj 2023 og bemærkede ligheder i distributionsmetoder, kampagner og malware-adfærd.
DarkGate anvender på sin side avancerede teknikker til at unddrage sig antivirusdetektion, herunder tastetrykslogning, PowerShell-udførelse og implementering af en omvendt shell, der gør det muligt for operatører at fjernstyre en inficeret vært, ifølge en teknisk rapport fra Sekoia.
I en omfattende analyse af højvolumen phishing-kampagne afslørede Cofense, at den er rettet mod en bred vifte af sektorer. Angrebskæderne involverer booby-fangede URL'er i kaprede e-mail-tråde, der leder brugerne til et ZIP-arkiv. Dette arkiv indeholder en JavaScript dropper, der forbinder til en anden URL for at downloade og udføre enten DarkGate eller PikaBot malware.
En bemærkelsesværdig variation af angrebene bruger Excel-tilføjelsesfiler (XLL) i stedet for JavaScript-droppere til at levere den endelige nyttelast. En vellykket infektion af DarkGate eller PikaBot kan resultere i udrulning af avanceret kryptomining-software, rekognosceringsværktøjer, ransomware eller enhver anden ondsindet fil valgt af trusselsaktørerne, som rapporteret af Cofense.