Water Curupira adlı bir tehdit aktörünün aktif olarak dağıtım yaptığı gözlemlendi. PikaBot 2023’teki spam kampanyalarının bir parçası olarak kötü amaçlı yazılım yükleme.
“PikaBot’un operatörleri, yetkisiz uzaktan erişime olanak tanıyan ve komuta ve kontrol (C&C) sunucularıyla kurulu bir bağlantı aracılığıyla keyfi komutların yürütülmesine izin veren iki bileşeni (bir yükleyici ve bir çekirdek modül) aracılığıyla kurbanları hedef alan kimlik avı kampanyaları yürüttü.” Trend Micro bugün yayınlanan bir raporda şunları söyledi.
Faaliyet, 2023’ün ilk çeyreğinde başlayıp Haziran ayı sonuna kadar sürdü ve Eylül ayında yeniden hızlandı. Ayrıca, QakBot’u sunmak için benzer taktikler kullanan, özellikle TA571 ve TA577 olarak bilinen siber suç grupları tarafından düzenlenen önceki kampanyalarla da örtüşüyor.
PikaBot ile ilgili kimlik avı kampanyalarının sayısındaki artışın, QakBot’un ağustos ayında kapatılmasının bir sonucu olduğuna ve yerine DarkGate’in ortaya çıktığına inanılıyor.
PikaBot öncelikle bir yükleyicidir; bu, genellikle fidye yazılımı dağıtımının öncüsü olarak görev yapan meşru bir istismar sonrası araç seti olan Cobalt Strike dahil olmak üzere başka bir yükü başlatmak üzere tasarlandığı anlamına gelir.
Saldırı zincirleri, alıcıları kötü amaçlı bağlantıları veya ekleri açmaları için kandırmak için mevcut e-posta dizilerini kullanan ve kötü amaçlı yazılım yürütme sırasını etkili bir şekilde etkinleştiren, e-posta dizisi ele geçirme adı verilen bir teknikten yararlanır.
JavaScript veya IMG dosyalarını içeren ZIP arşiv ekleri, PikaBot için başlatma paneli olarak kullanılır. Kötü amaçlı yazılım, sistemin dilini kontrol ediyor ve dilin Rusça veya Ukraynaca olması durumunda yürütmeyi durduruyor.
Bir sonraki adımda kurbanın sistemiyle ilgili ayrıntıları topluyor ve bunları JSON formatında bir C&C sunucusuna iletiyor. Water Curupira’nın kampanyaları, daha sonra Black Basta fidye yazılımının yayılmasına yol açan Cobalt Strike’ı durdurmayı amaçlıyor.
Trend Micro, “Tehdit aktörü ayrıca 2023’ün üçüncü çeyreğinin ilk haftalarında birkaç DarkGate spam kampanyası ve az sayıda IcedID kampanyası yürüttü, ancak o zamandan beri yalnızca PikaBot’a yöneldi” dedi.