Malware PikaBot implantado junto com DarkGate
Campanhas de phishing que implantam famílias de malware como DarkGate e PikaBot estão empregando estratégias que lembram ataques anteriores envolvendo o agora extinto trojan QakBot. De acordo com um relatório da Cofense compartilhado com o The Hacker News, essas táticas incluem iniciar infecções por meio de threads de e-mail comprometidos, utilizar URLs com padrões distintos para restringir o acesso do usuário e empregar uma cadeia de infecção muito semelhante à entrega do QakBot.
As famílias de malware escolhidas também atendem às expectativas de uso dos afiliados do QakBot. QakBot, também conhecido como QBot e Pinkslipbot, foi desmantelado como parte da Operação Duck Hunt em agosto.
A adoção do DarkGate e do PikaBot nessas campanhas não é surpreendente, dada a sua capacidade de servir como canais para entregar cargas adicionais a hosts comprometidos, tornando-os opções atraentes para os cibercriminosos. Zscaler já havia destacado os paralelos entre PikaBot e QakBot em uma análise de maio de 2023, observando semelhanças nos métodos de distribuição, campanhas e comportamentos de malware.
O DarkGate, por sua vez, emprega técnicas avançadas para evitar a detecção de antivírus, incluindo registro de pressionamento de tecla, execução do PowerShell e implementação de um shell reverso que permite aos operadores controlar remotamente um host infectado, de acordo com um relatório técnico da Sekoia.
Numa análise abrangente da campanha de phishing de alto volume, a Cofense revelou que ela tem como alvo uma ampla gama de setores. As cadeias de ataque envolvem URLs armadilhados em threads de e-mail sequestrados, direcionando os usuários para um arquivo ZIP. Este arquivo contém um conta-gotas JavaScript que se conecta a um segundo URL para baixar e executar o malware DarkGate ou PikaBot.
Uma variação notável dos ataques utiliza arquivos de suplemento do Excel (XLL) em vez de droppers JavaScript para entregar as cargas finais. Uma infecção bem-sucedida por DarkGate ou PikaBot pode resultar na implantação de software avançado de mineração de criptografia, ferramentas de reconhecimento, ransomware ou qualquer outro arquivo malicioso escolhido pelos atores da ameaça, conforme relatado pela Cofense.