La minaccia emergente del malware PikaBot

Gli analisti di Flashpoint hanno osservato un costante emergere di PikaBot, così come una continua modifica della sua catena di attacco, dove i threat actors dietro al malware stanno utilizzando vari formati del file di installazione iniziale per mirare alle vittime.

I nostri analisti hanno esaminato e convalidato sei diversi metodi di infezione della catena di attacco di PikaBot identificati dai ricercatori di sicurezza:

1. Adescamento tramite PDF
2. Installer di Windows
3. Email di phishing
4. File .HTA
5. File di script di Windows
6. File .XLL

Cos’è PikaBot e come funziona?

PikaBot è un trojan malware modulare scoperto per la prima volta nel febbraio 2023, composto da un caricatore (loader) e un modulo centrale. Presenta molte somiglianze con il trojan Qakbot e utilizza una vasta gamma di metodologie sofisticate di infezione. Di solito viene distribuito attraverso email di phishing e annunci di ricerca maligni, sebbene il payload iniziale venga consegnato alle vittime in vari formati.

Poiché le versioni precedenti di PikaBot hanno incontrato rilevamenti, gli analisti di Flashpoint hanno esaminato iterazioni altamente evasive. Le infezioni da PikaBot hanno facilitato la diffusione di strumenti post-exploit come Cobalt Strike e il rilascio di ransomware.

Metodo di infezione di PikaBot #1: adescamento tramite PDF

In alcuni casi, Flashpoint ha scoperto che le vittime vengono ingannate tramite un documento PDF:

In alcune varianti, le vittime vengono reindirizzate a un URL maligno che induce i visitatori a scaricare un archivio contenente un file di installazione. In altri casi, le esche impersonano Microsoft OneDrive; questa specifica variante è stata anche riutilizzata durante la rinascita dell’anno scorso di Qakbot.

Tuttavia, anziché il documento previsto, le vittime scaricano tipicamente un archivio dall’URL collegato nell’esca PDF, che include il file di installazione di PikaBot. Nella maggior parte dei casi, il file di installazione è un dropper JavaScript.

Pesantemente oscurato, lo scopo del JavaScript è eseguire la prima fase del caricatore PikaBot con l’utilità “curl” da un URL maligno. L’oscuramento di questi dropper JavaScript viene costantemente aggiornato per eludere la rilevazione.

Metodo di infezione di PikaBot #2: Installer di Windows

Nelle campagne di PikaBot osservate recentemente, il file di installazione è stato consegnato attraverso il formato di file di installazione di Windows “.msi”. Anche in questo caso, il file recupera la prima fase del caricatore di PikaBot da un indirizzo C2 ed esegue il payload dalla cartella “\\AppData\\Local\\Temp\\” dell’utente. Le infezioni recenti di Qakbot hanno sfruttato anche un installer .msi che esegue un caricatore .dll.

Metodo di infezione di PikaBot #3: Email di phishing

Anche le esche di phishing di PikaBot impiegano la tecnica di HTML smuggling, nella quale del codice maligno viene eseguito quando un allegato HTML a una email di phishing viene scaricato ed eseguito.

All’interno dell’allegato HTML è incluso del codice JavaScript maligno che viene eseguito quando gli utenti aprono l’allegato, scaricando il file di installazione sul computer della vittima.

In altre campagne email correlate, il malware include anche esche nel corpo dell’email, inducendo le vittime a visitare un URL e scaricare direttamente un archivio. In alcuni casi, il file di installazione viene consegnato sotto forma di file “.LNK” con un’icona che si maschera da file PDF legittimo.

All’interno del file LNK sono presenti istruzioni di esecuzione per la prima fase del caricatore di PikaBot. Per questa specifica istanza, il malware adotta misure specifiche per bypassare il whitelisting delle applicazioni.

Metodo di infezione di PikaBot #4: File .HTA

Flashpoint ha osservato che PikaBot è stato consegnato anche attraverso file di applicazione HTML “.HTA” e può comportarsi in modo simile a un eseguibile normale quando viene fatto doppio clic.

In questo caso, il file contatta un URL maligno e fornisce un altro strato di astrazione prima che il file di installazione raggiunga l’asset.

Metodo di infezione di PikaBot #5: File di script di Windows

Il malware è stato visto anche sfruttare i file di script di Windows, un tipo di file che può includere codice JScript o Visual Basic come installatore. Questo metodo, con un’esca PDF simile, è stato osservato anche nelle campagne di Qakbot lo scorso aprile.

Metodo di infezione di PikaBot #6: File .XLL

I file di installazione sfruttano anche l’estensione “.XLL”, utilizzata per gli add-in di Microsoft Excel. Questi file utilizzano un framework open source per caricare un assembly “.NET” con le risorse direttamente in memoria. In questo caso, il file XLL viene eseguito, rilascia un file di script visual basic nella cartella Pubblica dell’utente e quindi sfrutta curl.exe per recuperare la prima fase del caricatore di PikaBot.

Cosa può fare PiKaBot

Ogni file di installazione recupera e esegue semplicemente la prima fase del caricatore di PikaBot, che viene sempre consegnato sotto forma di Dynamic Link Library (DLL). Nella versione iniziale del malware, la DLL stabiliva la persistenza attraverso una chiave di registro “run” e un’attività pianificata. L’attività pianificata eseguiva del codice shell per scaricare ed eseguire la seconda fase e il modulo centrale del malware, il quale viene iniettato in binari Windows legittimi.

Nelle versioni aggiornate, PikaBot include tecniche migliorate per evitare l’analisi. Il payload del caricatore viene consegnato al destinatario confezionato ed è decompattato all’esecuzione. Tuttavia, il malware ora sfrutta una tecnica in cui le istruzioni vengono eseguite in memoria tramite le API native di Windows, nel tentativo di eludere i sistemi di rilevamento e risposta degli endpoint. Questo differisce dalla versione precedente, che inietta il modulo di codice in diversi binari Windows legittimi. Il modulo centrale è progettato per mimare una versione legittima del binario, inclusi stringhe legittime.

Una volta che il modulo di codice viene caricato su un host, il malware raccoglie informazioni sul sistema operativo e sul dominio e ruba i dati. Il malware include capacità per eseguire comandi arbitrari, scaricare payload aggiuntivi e iniettare shellcode in un processo target.

Ecco come proteggersi da PikaBot:

Il malware PikaBot sta emergendo costantemente per diventare una parte sempre più grande del panorama delle minacce, considerando i suoi costanti aggiornamenti e la sua persistenza dopo la rinascita di Qakbot.

Flashpoint consiglia quanto segue per evitare l’infezione:

1. Disabilitare l’esecuzione degli utenti di qualsiasi tipo di file di installazione: “.hta”, “.xll”, “.msi”, “.js” e “.wsf”.
2. Assicurarsi una corretta rilevazione comportamentale dell’abuso di binari “living off the land” e di binari di enumerazione.
3. Ispezione dei contenuti presso il proxy web.
4. Limitare l’esecuzione degli utenti di file all’interno di archivi zip protetti da password.
Rimanere protetti utilizzando Flashpoint.

Il panorama delle minacce è in costante evoluzione. Sfruttando i dati e l’intelligence di Flashpoint, le organizzazioni hanno la possibilità di rafforzare le loro difese e proteggere gli asset digitali. Richiedi una dimostrazione e scopri come i dati di prima classe consentono decisioni sui rischi migliori.

Articolo originale

Ottieni una demo

PUBBLICATO DA:<br>Sara Guglielmi
PUBBLICATO DA:
Sara Guglielmi
Marketing

ARTICOLI CORRELATI