Pikabot yeni numaralarla geri dönüyor

   Şubat 26, 2024  Posted in HelpnetSecurity


Kısa bir aradan sonra Pikabot, yeteneklerinde ve bileşenlerinde önemli güncellemeler ve yeni bir teslimat kampanyasıyla geri döndü.

Pikabot yükleyici hakkında

Pikabot bir yükleyicidir; temel işlevi diğer kötü amaçlı yazılımlar için dağıtım mekanizması görevi görmek olan bir tür kötü amaçlı yazılımdır. İlk olarak 2023’ün başlarında ortaya çıktı ve tehdit aktörleri tarafından Cobalt Strike veya çeşitli fidye yazılımları gibi yükleri dağıtmak için yaygın olarak kullanıldı.

Quakbot botnetinin kesintiye uğramasının ardından alternatif olarak Pikabot ortaya çıktı ve özellikle 2023 yılının ikinci yarısında aktif hale geldi.

Başlangıçta, AnyDesk, Slack ve Zoom gibi meşru görünen yazılımları zorlayan malspam ve kötü amaçlı reklam kampanyaları yoluyla dağıtıldı.

Faaliyeti, muhtemelen Qakbot’un yeni bir sürümünün tekrarlanması nedeniyle Aralık 2023’te durduruldu. Artık kod tabanında ve bileşenlerinde önemli değişikliklerle geri döndü.

Yeni işlevler

Elastic Security Labs’taki araştırmacılar, 8 Şubat 2024’te başlayan ve ilk erişim için kimlik avı e-postalarından yararlanan yeni bir Pikabot kampanyasını gözlemledi.

E-postalar, karmaşık Javascript içeren ZIP arşiv dosyalarına yönlendiren köprüler içeriyordu. Yürütüldükten sonra Pikabot yükleyiciyi indirmek ve yürütmek için PowerShell’i kullanır.

Güncellemeler aranıyor

Pikabot yürütme akışı. (Kaynak: Elastic Security Labs)

Elastic Security Labs ve Zscaler araştırmacıları Pikabot yükleyiciyi analiz etti ve kötü amaçlı yazılımın önceki sürümlerinden bazı farklılıklara dikkat çekti:

  • Daha az hat içi RC4 işleviyle daha basit şifreleme algoritmaları
  • Tespitten kaçınmak için hata ayıklama önleme yöntemleri
  • Bot yapılandırması çalışma zamanında düz metin halindedir, JSON formatı kaldırılmıştır
  • AES artık ağ iletişiminde kullanılmıyor

“Bu yeni güncellemede, zamanla daha fazla iyileştirme yapacak yeni bir kod tabanının başlangıcı olduğunu düşündüğümüz ilginç tasarım seçenekleri var. İşlevsellik önceki yapılara benzer olsa da, bu yeni güncellemeler muhtemelen imzaları ve önceki araçları bozmuştur” diye belirtti Elastic Security Labs araştırmacıları.



Source link