Вредоносное ПО PikaBot развернуто вместе с DarkGate
Фишинговые кампании, в которых используются такие семейства вредоносных программ, как DarkGate и PikaBot, используют стратегии, напоминающие предыдущие атаки с использованием ныне несуществующего трояна QakBot. Согласно отчету Cofense, предоставленному The Hacker News, эта тактика включает инициирование заражения через скомпрометированные потоки электронной почты, использование URL-адресов с различными шаблонами для ограничения доступа пользователей и использование цепочки заражения, очень напоминающей цепочку доставки QakBot.
Выбранные семейства вредоносных программ также соответствуют ожиданиям по использованию филиалами QakBot. QakBot, также известный как QBot и Pinkslipbot, был демонтирован в рамках операции «Утиная охота» в августе.
Использование DarkGate и PikaBot в этих кампаниях неудивительно, учитывая их способность служить каналами для доставки дополнительных полезных данных на скомпрометированные хосты, что делает их привлекательными вариантами для киберпреступников. Zscaler ранее подчеркивал параллели между PikaBot и QakBot в анализе, проведенном в мае 2023 года, отмечая сходство в методах распространения, кампаниях и поведении вредоносных программ.
Согласно техническому отчету Sekoia, DarkGate, со своей стороны, использует передовые методы, позволяющие избежать обнаружения антивирусом, включая ведение журнала нажатий клавиш, выполнение PowerShell и реализацию обратной оболочки, которая позволяет операторам удаленно управлять зараженным хостом.
В ходе всестороннего анализа масштабной фишинговой кампании компания Cofense обнаружила, что она нацелена на самые разные отрасли. Цепочки атак включают URL-адреса-ловушки в перехваченных цепочках электронной почты, направляющие пользователей в ZIP-архив. Этот архив содержит дроппер JavaScript, который подключается ко второму URL-адресу для загрузки и запуска вредоносного ПО DarkGate или PikaBot.
Примечательный вариант атак использует файлы надстроек Excel (XLL) вместо дропперов JavaScript для доставки окончательных полезных данных. Как сообщает Cofense, успешное заражение DarkGate или PikaBot может привести к развертыванию передового программного обеспечения для майнинга криптовалют, инструментов разведки, программ-вымогателей или любого другого вредоносного файла, выбранного злоумышленниками.