PikaBot Malware utplacerad vid sidan av DarkGate
Nätfiskekampanjer som distribuerar skadliga programfamiljer som DarkGate och PikaBot använder strategier som påminner om tidigare attacker som involverade den numera nedlagda QakBot-trojanen. Enligt en rapport från Cofense som delas med The Hacker News inkluderar dessa taktik att initiera infektioner genom komprometterade e-posttrådar, använda URL:er med distinkta mönster för att begränsa användaråtkomst och använda en infektionskedja som nära liknar den för QakBot-leverans.
De utvalda skadliga programfamiljerna överensstämmer också med förväntningarna för användning av QakBots dotterbolag. QakBot, även känd som QBot och Pinkslipbot, demonterades som en del av Operation Duck Hunt i augusti.
Antagandet av DarkGate och PikaBot i dessa kampanjer är föga överraskande, med tanke på deras förmåga att fungera som kanaler för att leverera ytterligare nyttolaster till komprometterade värdar, vilket gör dem tilltalande alternativ för cyberbrottslingar. Zscaler hade tidigare lyft fram parallellerna mellan PikaBot och QakBot i en analys från maj 2023, och noterade likheter i distributionsmetoder, kampanjer och skadlig programvara.
DarkGate, å sin sida, använder avancerade tekniker för att undvika antivirusdetektering, inklusive tangenttryckningsloggning, PowerShell-exekvering och implementering av ett omvänt skal som gör det möjligt för operatörer att fjärrstyra en infekterad värd, enligt en teknisk rapport från Sekoia.
I en omfattande analys av nätfiskekampanjen med stora volymer avslöjade Cofense att den riktar sig till en mängd olika sektorer. Attackkedjorna involverar booby-fångade webbadresser i kapade e-posttrådar, som leder användarna till ett ZIP-arkiv. Det här arkivet innehåller en JavaScript-droppare som ansluter till en andra URL för att ladda ner och köra antingen DarkGate eller PikaBot malware.
En anmärkningsvärd variant av attackerna använder Excel-tilläggsfiler (XLL) istället för JavaScript-droppare för att leverera den slutliga nyttolasten. En framgångsrik infektion av DarkGate eller PikaBot kan resultera i utplacering av avancerad programvara för kryptogruvdrift, spaningsverktyg, ransomware eller någon annan skadlig fil som valts av hotaktörerna, enligt rapporter från Cofense.
