Złośliwe oprogramowanie PikaBot zainstalowane wraz z DarkGate
W kampaniach phishingowych wykorzystujących rodziny szkodliwego oprogramowania, takie jak DarkGate i PikaBot, wykorzystywane są strategie przypominające poprzednie ataki z udziałem nieistniejącego już trojana QakBot. Według raportu Cofense udostępnionego The Hacker News taktyki te obejmują inicjowanie infekcji poprzez przejęte wątki wiadomości e-mail, wykorzystywanie adresów URL o odrębnych wzorach w celu ograniczania dostępu użytkowników oraz wykorzystywanie łańcucha infekcji bardzo przypominającego łańcuch dostarczania QakBot.
Wybrane rodziny szkodliwego oprogramowania są również zgodne z oczekiwaniami dotyczącymi wykorzystania przez podmioty stowarzyszone QakBot. QakBot, znany również jako QBot i Pinkslipbot, został zdemontowany w sierpniu w ramach operacji Duck Hunt.
Zastosowanie DarkGate i PikaBot w tych kampaniach nie jest zaskakujące, biorąc pod uwagę ich zdolność do pełnienia roli kanałów dostarczania dodatkowych ładunków do zaatakowanych hostów, co czyni je atrakcyjną opcją dla cyberprzestępców. Zscaler już wcześniej podkreślił podobieństwa między PikaBotem i QakBotem w analizie z maja 2023 r., zwracając uwagę na podobieństwa w metodach dystrybucji, kampaniach i zachowaniach złośliwego oprogramowania.
Jak wynika z raportu technicznego firmy Sekoia, DarkGate ze swojej strony wykorzystuje zaawansowane techniki, aby uniknąć wykrycia przez program antywirusowy, w tym rejestrowanie naciśnięć klawiszy, uruchamianie programu PowerShell i wdrażanie powłoki zwrotnej, która umożliwia operatorom zdalne kontrolowanie zainfekowanego hosta.
W kompleksowej analizie masowej kampanii phishingowej Cofense ujawniło, że jej celem są różnorodne sektory. Łańcuchy ataków obejmują adresy URL-pułapki w przechwyconych wątkach e-maili, kierujące użytkowników do archiwum ZIP. To archiwum zawiera dropper JavaScript, który łączy się z drugim adresem URL w celu pobrania i uruchomienia szkodliwego oprogramowania DarkGate lub PikaBot.
Godna uwagi odmiana ataków wykorzystuje pliki dodatków Excel (XLL) zamiast dropperów JavaScript w celu dostarczenia ostatecznych ładunków. Jak podaje Cofense, pomyślna infekcja przez DarkGate lub PikaBot może skutkować wdrożeniem zaawansowanego oprogramowania do wydobywania kryptowalut, narzędzi rozpoznawczych, oprogramowania ransomware lub dowolnego innego złośliwego pliku wybranego przez cyberprzestępców.