PikaBot kártevő telepítve a DarkGate mellett
Az olyan rosszindulatú programcsaládokat telepítő adathalász kampányok, mint a DarkGate és a PikaBot, olyan stratégiákat alkalmaznak, amelyek a már megszűnt QakBot trójaival kapcsolatos korábbi támadásokra emlékeztetnek. A Cofense The Hacker News-szal megosztott jelentése szerint ezek a taktikák magukban foglalják a fertőzések kezdeményezését a feltört e-mail szálakon keresztül, a különböző mintákkal rendelkező URL-ek felhasználását a felhasználói hozzáférés korlátozására, valamint a QakBot kézbesítéséhez nagyon hasonló fertőzési lánc alkalmazását.
A kiválasztott rosszindulatú programcsaládok is megfelelnek a QakBot leányvállalatai általi használattal kapcsolatos elvárásoknak. A QakBot, más néven QBot és Pinkslipbot augusztusban az Operation Duck Hunt keretében leszerelték.
A DarkGate és a PikaBot alkalmazása ezekben a kampányokban nem meglepő, tekintve, hogy csatornaként szolgálnak a kompromittált gazdagépekhez való további rakomány eljuttatásához, így vonzó lehetőségek a kiberbűnözők számára. Zscaler korábban egy 2023 májusi elemzésében kiemelte a PikaBot és a QakBot közötti párhuzamot, és hasonlóságokat mutatott ki a terjesztési módszerekben, kampányokban és rosszindulatú programok viselkedésében.
A Sekoia technikai jelentése szerint a DarkGate a maga részéről fejlett technikákat alkalmaz az antivírus-észlelés elkerülésére, ideértve a billentyűleütések naplózását, a PowerShell-végrehajtást és a fordított shell megvalósítását, amely lehetővé teszi a kezelők számára, hogy távolról irányítsák a fertőzött gazdagépet.
A nagy volumenű adathalász kampány átfogó elemzése során a Cofense feltárta, hogy a kampány sokféle ágazatot céloz meg. A támadási láncok csapdába esett URL-eket tartalmaznak az eltérített e-mail szálakon belül, és a felhasználókat egy ZIP-archívumhoz irányítják. Ez az archívum tartalmaz egy JavaScript droppert, amely egy második URL-hez csatlakozik a DarkGate vagy a PikaBot rosszindulatú program letöltéséhez és végrehajtásához.
A támadások egyik figyelemre méltó változata Excel-bővítmény (XLL) fájlokat használ a JavaScript dropperek helyett a végső rakományok kézbesítésére. A Cofense jelentése szerint a DarkGate vagy a PikaBot sikeres fertőzése fejlett kriptobányászati szoftverek, felderítő eszközök, zsarolóprogramok vagy bármely más, a fenyegetést okozó szereplők által választott rosszindulatú fájl telepítését eredményezheti.
