PikaBot-Malware wird zusammen mit DarkGate bereitgestellt
Phishing-Kampagnen, die Malware-Familien wie DarkGate und PikaBot einsetzen, wenden Strategien an, die an frühere Angriffe mit dem inzwischen nicht mehr existierenden Trojaner QakBot erinnern. Laut einem Bericht von Cofense, der mit The Hacker News geteilt wurde, umfassen diese Taktiken das Initiieren von Infektionen über kompromittierte E-Mail-Threads, die Verwendung von URLs mit unterschiedlichen Mustern, um den Benutzerzugriff einzuschränken, und den Einsatz einer Infektionskette, die der der QakBot-Zustellung sehr ähnelt.
Die ausgewählten Malware-Familien stimmen auch mit den Erwartungen an die Verwendung durch QakBot-Partner überein. QakBot, auch bekannt als QBot und Pinkslipbot, wurde im August im Rahmen der Operation Duck Hunt demontiert.
Der Einsatz von DarkGate und PikaBot in diesen Kampagnen ist nicht überraschend, da sie als Kanäle für die Bereitstellung zusätzlicher Nutzlasten an kompromittierte Hosts dienen können, was sie zu attraktiven Optionen für Cyberkriminelle macht. Zscaler hatte zuvor in einer Analyse vom Mai 2023 die Parallelen zwischen PikaBot und QakBot hervorgehoben und dabei Ähnlichkeiten bei Verteilungsmethoden, Kampagnen und Malware-Verhalten festgestellt.
Laut einem technischen Bericht von Sekoia setzt DarkGate seinerseits fortschrittliche Techniken ein, um der Antiviren-Erkennung zu entgehen, einschließlich der Protokollierung von Tastenanschlägen, der PowerShell-Ausführung und der Implementierung einer Reverse-Shell, die es Betreibern ermöglicht, einen infizierten Host fernzusteuern.
In einer umfassenden Analyse der großvolumigen Phishing-Kampagne stellte Cofense fest, dass sie auf eine Vielzahl von Sektoren abzielt. Bei den Angriffsketten handelt es sich um mit Sprengfallen versehene URLs in gekaperten E-Mail-Threads, die Benutzer zu einem ZIP-Archiv weiterleiten. Dieses Archiv enthält einen JavaScript-Dropper, der eine Verbindung zu einer zweiten URL herstellt, um entweder die DarkGate- oder PikaBot-Malware herunterzuladen und auszuführen.
Eine bemerkenswerte Variante der Angriffe nutzt Excel-Add-In-Dateien (XLL) anstelle von JavaScript-Droppern, um die endgültigen Nutzlasten zu liefern. Eine erfolgreiche Infektion durch DarkGate oder PikaBot könnte zum Einsatz fortschrittlicher Krypto-Mining-Software, Aufklärungstools, Ransomware oder anderer schädlicher Dateien führen, die von den Bedrohungsakteuren ausgewählt werden, wie Cofense berichtet.
