Το κακόβουλο λογισμικό PikaBot αναπτύσσεται παράλληλα με το DarkGate
Οι καμπάνιες ηλεκτρονικού "ψαρέματος" που αναπτύσσουν οικογένειες κακόβουλου λογισμικού, όπως το DarkGate και το PikaBot, χρησιμοποιούν στρατηγικές που θυμίζουν προηγούμενες επιθέσεις που περιλαμβάνουν τον πλέον ανενεργό trojan QakBot. Σύμφωνα με μια αναφορά από το Cofense που κοινοποιήθηκε στο The Hacker News, αυτές οι τακτικές περιλαμβάνουν την έναρξη μολύνσεων μέσω παραβιασμένων νημάτων email, τη χρήση διευθύνσεων URL με διαφορετικά μοτίβα για τον περιορισμό της πρόσβασης των χρηστών και τη χρήση μιας αλυσίδας μόλυνσης που μοιάζει πολύ με αυτή της παράδοσης QakBot.
Οι επιλεγμένες οικογένειες κακόβουλου λογισμικού ευθυγραμμίζονται επίσης με τις προσδοκίες για χρήση από τις θυγατρικές του QakBot. Το QakBot, γνωστό και ως QBot και Pinkslipbot, διαλύθηκε ως μέρος της Επιχείρησης Duck Hunt τον Αύγουστο.
Η υιοθέτηση του DarkGate και του PikaBot σε αυτές τις καμπάνιες δεν προκαλεί έκπληξη, δεδομένης της ικανότητάς τους να λειτουργούν ως αγωγοί για την παράδοση πρόσθετων ωφέλιμων φορτίων σε παραβιασμένους κεντρικούς υπολογιστές, καθιστώντας τους ελκυστικές επιλογές για τους εγκληματίες του κυβερνοχώρου. Ο Zscaler είχε προηγουμένως επισημάνει τους παραλληλισμούς μεταξύ του PikaBot και του QakBot σε μια ανάλυση του Μαΐου 2023, σημειώνοντας ομοιότητες στις μεθόδους διανομής, τις καμπάνιες και τις συμπεριφορές κακόβουλου λογισμικού.
Το DarkGate, από την πλευρά του, χρησιμοποιεί προηγμένες τεχνικές για να αποφύγει την ανίχνευση ιών, συμπεριλαμβανομένης της καταγραφής πληκτρολόγησης, εκτέλεσης PowerShell και την υλοποίηση ενός αντίστροφου κελύφους που επιτρέπει στους χειριστές να ελέγχουν εξ αποστάσεως έναν μολυσμένο κεντρικό υπολογιστή, σύμφωνα με μια τεχνική έκθεση της Sekoia.
Σε μια ολοκληρωμένη ανάλυση της εκστρατείας phishing μεγάλου όγκου, η Cofense αποκάλυψε ότι στοχεύει μια ποικιλία τομέων. Οι αλυσίδες επιθέσεων περιλαμβάνουν διευθύνσεις URL που έχουν παγιδευτεί με εκρηκτικά μέσα σε νήματα ηλεκτρονικού ταχυδρομείου που έχουν παραβιαστεί, κατευθύνοντας τους χρήστες σε ένα αρχείο ZIP. Αυτό το αρχείο περιέχει ένα σταγονόμετρο JavaScript που συνδέεται με μια δεύτερη διεύθυνση URL για λήψη και εκτέλεση είτε του κακόβουλου λογισμικού DarkGate είτε PikaBot.
Μια αξιοσημείωτη παραλλαγή των επιθέσεων χρησιμοποιεί αρχεία πρόσθετου Excel (XLL) αντί για droppers JavaScript για την παράδοση των τελικών ωφέλιμων φορτίων. Μια επιτυχής μόλυνση από το DarkGate ή το PikaBot θα μπορούσε να οδηγήσει στην ανάπτυξη προηγμένου λογισμικού εξόρυξης κρυπτονομισμάτων, εργαλείων αναγνώρισης, ransomware ή οποιουδήποτε άλλου κακόβουλου αρχείου που επιλέγεται από τους φορείς απειλών, όπως αναφέρεται από την Cofense.
