PikaBot 恶意软件与 DarkGate 一起部署

部署 DarkGate 和 PikaBot 等恶意软件系列的网络钓鱼活动所采用的策略让人想起之前涉及现已失效的 QakBot 木马的攻击。根据 Cofense 与 The Hacker News 分享的一份报告，这些策略包括通过受损的电子邮件线程发起感染、利用具有不同模式的 URL 来限制用户访问，以及采用与 QakBot 交付非常相似的感染链。

所选的恶意软件系列也符合 QakBot 附属公司的使用预期。 QakBot，也称为 QBot 和 Pinkslipbot，作为 8 月份猎鸭行动的一部分被拆除。

在这些活动中采用 DarkGate 和 PikaBot 并不令人意外，因为它们能够充当向受感染主机提供额外有效负载的渠道，使它们成为网络犯罪分子的有吸引力的选择。 Zscaler 此前在 2023 年 5 月的分析中强调了 PikaBot 和 QakBot 之间的相似之处，指出分发方法、活动和恶意软件行为方面的相似之处。

根据 Sekoia 的一份技术报告，DarkGate 采用先进技术来逃避防病毒检测，包括击键记录、PowerShell 执行以及反向 shell 的实现，使操作员能够远程控制受感染的主机。

在对大量网络钓鱼活动进行全面分析时，Cofense 透露，该活动针对多个行业。攻击链涉及被劫持的电子邮件线程中的诱杀 URL，将用户引导至 ZIP 存档。该存档包含一个 JavaScript dropper，它连接到第二个 URL 以下载并执行 DarkGate 或 PikaBot 恶意软件。

攻击的一个显着变化是利用 Excel 加载项 (XLL) 文件而不是 JavaScript 释放器来传递最终的有效负载。据 Cofense 报道，DarkGate 或 PikaBot 的成功感染可能会导致高级加密挖掘软件、侦察工具、勒索软件或威胁行为者选择的任何其他恶意文件的部署。