PikaBot マルウェアが DarkGate とともに導入される
DarkGate や PikaBot などのマルウェア ファミリを展開するフィッシング キャンペーンは、現在は廃止されているトロイの木馬 QakBot を含む以前の攻撃を彷彿とさせる戦略を採用しています。 The Hacker News に共有された Cofense のレポートによると、これらの戦術には、侵害された電子メール スレッドを介して感染を開始すること、ユーザー アクセスを制限するための独特のパターンを持つ URL の利用、QakBot の配信とよく似た感染チェーンの採用が含まれます。
選択されたマルウェア ファミリは、QakBot アフィリエイトによる使用の期待とも一致しています。 QBot および Pinklipbot としても知られる QakBot は、8 月にダックハント作戦の一環として解体されました。
DarkGate と PikaBot は、侵害されたホストに追加のペイロードを配信するための経路として機能し、サイバー犯罪者にとって魅力的な選択肢となるため、これらのキャンペーンで DarkGate と PikaBot が採用されたことは驚くべきことではありません。 Zscalerは以前、2023年5月の分析でPikaBotとQakBotの類似点を強調し、配布方法、キャンペーン、マルウェアの動作の類似点を指摘していた。
Sekoia の技術レポートによると、DarkGate は、キーストロークのログ記録、PowerShell の実行、オペレータが感染したホストをリモートで制御できるようにするリバース シェルの実装など、ウイルス対策の検出を回避する高度な技術を採用しています。
Cofense は、大規模なフィッシング キャンペーンを包括的に分析した結果、このキャンペーンがさまざまな分野を標的にしていることを明らかにしました。攻撃チェーンには、ハイジャックされた電子メール スレッド内のブービートラップされた URL が関与し、ユーザーを ZIP アーカイブに誘導します。このアーカイブには、2 番目の URL に接続して DarkGate または PikaBot マルウェアをダウンロードして実行する JavaScript ドロッパーが含まれています。
注目に値する攻撃のバリエーションでは、JavaScript ドロッパーの代わりに Excel アドイン (XLL) ファイルを利用して最終ペイロードを配信します。 Cofense の報告によると、DarkGate または PikaBot による感染が成功すると、高度な暗号通貨マイニング ソフトウェア、偵察ツール、ランサムウェア、または脅威アクターが選択したその他の悪意のあるファイルが展開される可能性があります。