PikaBot-malware geïmplementeerd naast DarkGate
Phishing-campagnes waarbij malwarefamilies als DarkGate en PikaBot worden ingezet, maken gebruik van strategieën die doen denken aan eerdere aanvallen met de inmiddels ter ziele gegane QakBot-trojan. Volgens een rapport van Cofense gedeeld met The Hacker News omvatten deze tactieken het initiëren van infecties via gecompromitteerde e-mailthreads, het gebruik van URL's met verschillende patronen om de toegang van gebruikers te beperken, en het gebruik van een infectieketen die sterk lijkt op die van QakBot-bezorging.
De gekozen malwarefamilies komen ook overeen met de verwachtingen voor gebruik door QakBot-filialen. QakBot, ook bekend als QBot en Pinkslipbot, werd in augustus ontmanteld als onderdeel van Operatie Duck Hunt.
De adoptie van DarkGate en PikaBot in deze campagnes is niet verrassend, gezien hun vermogen om als kanalen te dienen voor het leveren van extra ladingen aan gecompromitteerde hosts, waardoor ze aantrekkelijke opties zijn voor cybercriminelen. Zscaler had eerder de parallellen tussen PikaBot en QakBot benadrukt in een analyse van mei 2023, waarbij hij overeenkomsten opmerkte in distributiemethoden, campagnes en malwaregedrag.
DarkGate maakt op zijn beurt gebruik van geavanceerde technieken om antivirusdetectie te omzeilen, waaronder toetsaanslagregistratie, PowerShell-uitvoering en de implementatie van een omgekeerde shell waarmee operators een geïnfecteerde host op afstand kunnen besturen, volgens een technisch rapport van Sekoia.
In een uitgebreide analyse van de grootschalige phishing-campagne onthulde Cofense dat deze zich richt op een breed scala aan sectoren. De aanvalsketens omvatten boobytrap-URL's in gekaapte e-mailthreads, waardoor gebruikers naar een ZIP-archief worden geleid. Dit archief bevat een JavaScript-dropper die verbinding maakt met een tweede URL om de DarkGate- of PikaBot-malware te downloaden en uit te voeren.
Een opmerkelijke variant van de aanvallen maakt gebruik van Excel-invoegtoepassingen (XLL) in plaats van JavaScript-droppers om de uiteindelijke lading te leveren. Een succesvolle infectie door DarkGate of PikaBot kan resulteren in de inzet van geavanceerde cryptominingsoftware, verkenningstools, ransomware of enig ander kwaadaardig bestand gekozen door de bedreigingsactoren, zoals gerapporteerd door Cofense.
