PikaBot-malware distribuert ved siden av DarkGate
Phishing-kampanjer som distribuerer skadevarefamilier som DarkGate og PikaBot bruker strategier som minner om tidligere angrep som involverer den nå nedlagte QakBot-trojaneren. I følge en rapport fra Cofense delt med The Hacker News inkluderer disse taktikkene initiering av infeksjoner gjennom kompromitterte e-posttråder, bruk av URL-er med distinkte mønstre for å begrense brukertilgang, og bruk av en infeksjonskjede som ligner mye på QakBot-levering.
De valgte skadevarefamiliene samsvarer også med forventningene til bruk av QakBot-tilknyttede selskaper. QakBot, også kjent som QBot og Pinkslipbot, ble demontert som en del av Operation Duck Hunt i august.
Adopsjonen av DarkGate og PikaBot i disse kampanjene er ikke overraskende, gitt deres evne til å tjene som kanaler for å levere ekstra nyttelast til kompromitterte verter, noe som gjør dem tiltalende alternativer for nettkriminelle. Zscaler hadde tidligere fremhevet parallellene mellom PikaBot og QakBot i en analyse fra mai 2023, og la merke til likheter i distribusjonsmetoder, kampanjer og skadelig programvare.
DarkGate, på sin side, bruker avanserte teknikker for å unngå antivirusdeteksjon, inkludert tastetrykklogging, PowerShell-kjøring og implementering av et omvendt skall som gjør det mulig for operatører å fjernstyre en infisert vert, ifølge en teknisk rapport fra Sekoia.
I en omfattende analyse av phishing-kampanjen med høyt volum, avslørte Cofense at den retter seg mot en mangfoldig rekke sektorer. Angrepskjedene involverer booby-fangede URL-er i kaprede e-posttråder, og dirigerer brukere til et ZIP-arkiv. Dette arkivet inneholder en JavaScript dropper som kobles til en annen URL for å laste ned og kjøre enten DarkGate eller PikaBot malware.
En bemerkelsesverdig variant av angrepene bruker Excel-tilleggsfiler (XLL) i stedet for JavaScript-droppere for å levere de endelige nyttelastene. En vellykket infeksjon av DarkGate eller PikaBot kan resultere i utplassering av avansert kryptogruveprogramvare, rekognoseringsverktøy, løsepengeprogramvare eller annen ondsinnet fil valgt av trusselaktørene, som rapportert av Cofense.