PikaBot 惡意軟體與 DarkGate 一起部署
部署 DarkGate 和 PikaBot 等惡意軟體系列的網路釣魚活動所採用的策略讓人想起先前涉及現已失效的 QakBot 木馬的攻擊。根據 Cofense 與 The Hacker News 分享的報告,這些策略包括透過受損的電子郵件線程發起感染、利用具有不同模式的 URL 來限制用戶訪問,以及採用與 QakBot 交付非常相似的感染鏈。
所選的惡意軟體系列也符合 QakBot 附屬公司的使用預期。 QakBot,也稱為 QBot 和 Pinkslipbot,作為 8 月獵鴨行動的一部分被拆除。
在這些活動中採用 DarkGate 和 PikaBot 並不令人意外,因為它們能夠充當向受感染主機提供額外有效負載的管道,使它們成為網路犯罪分子的有吸引力的選擇。 Zscaler 先前在 2023 年 5 月的分析中強調了 PikaBot 和 QakBot 之間的相似之處,指出分發方法、活動和惡意軟體行為的相似之處。
根據 Sekoia 的一份技術報告,DarkGate 採用先進技術來逃避防毒偵測,包括按鍵記錄、PowerShell 執行以及反向 shell 的實現,使操作員能夠遠端控制受感染的主機。
在對大量網路釣魚活動進行全面分析時,Cofense 透露,該活動針對多個行業。攻擊鏈涉及被劫持的電子郵件執行緒中的誘殺 URL,將使用者引導至 ZIP 檔案。該檔案包含一個 JavaScript dropper,它連接到第二個 URL 以下載並執行 DarkGate 或 PikaBot 惡意軟體。
攻擊的一個顯著變化是利用 Excel 加載項 (XLL) 檔案而不是 JavaScript 釋放器來傳遞最終的有效負載。根據 Cofense 報告,DarkGate 或 PikaBot 的成功感染可能會導致高級加密挖掘軟體、偵察工具、勒索軟體或威脅行為者選擇的任何其他惡意檔案的部署。