Segundo pesquisadores, a campanha de phishing que promove o malware DarkGate e PikaBot é realizado pelos autores ou sucessores do Trojan QBot (também conhecido como QakBot). Especialistas em segurança da informação acreditam que esta é atualmente a campanha de phishing mais complexa que surgiu desde a liquidação do QBot.
Pikabot é um novo QakBot?
Em seu relatório, Cofense disse que As táticas e métodos do DarkGate e Pikabot são semelhantes aos QakBot anteriores (também conhecido como Qbot) campanhas. Aquilo é, parece que os operadores do Qbot simplesmente passaram a usar novos botnets e malware. Os pesquisadores escrevem que QBot foi uma das maiores botnets. A propagação do QBot foi associada ao email, e DarkGate e Pikabot são downloaders modulares de malware que possuem as mesmas funções do QBot.
Da mesma forma que QBot, hackers usam os novos downloaders para obter acesso inicial às vítimas’ redes. Em seguida, eles realizam ataques de ransomware, espionagem e roubo de dados. Interessantemente, alguns especialistas em segurança cibernética previu o possível retorno do malware.
Recursos da campanha de phishing dos herdeiros do QBot
De acordo com a Cofense, neste verão, o número de e-mails maliciosos espalhando DarkGate aumentou significativamente. Em outubro 2023, os invasores passaram a usar o Pikabot como sua principal carga útil. Esses ataques de phishing começam com e-mails que parecem ser uma resposta ou encaminhamento relacionado a uma discussão anteriormente roubada. Isso torna mais provável que os destinatários vejam a mensagem com mais confiança.
Os usuários que clicam em um URL desse e-mail passam por uma série de verificações e são solicitados a baixar um arquivo ZIP. Este arquivo contém um conta-gotas que recupera a carga final de uma fonte remota.
Os pesquisadores observam que os invasores experimentaram vários droppers para determinar qual funcionou melhor, Incluindo:
- Conta-gotas JavaScript para carregar e executar PE ou DLL;
- Carregador Excel-DNA, baseado em um projeto de código aberto usado para criar arquivos XLL. Neste caso, é usado para baixar e executar malware;
- Carregadores VBS, que pode executar malware por meio de arquivos .vbs em documentos do Microsoft Office ou iniciar executáveis de linha de comando;
- Descarregadores LNK, que usam arquivos .lnk para baixar e executar malware.
A carga útil final usada nesses ataques até setembro 2023 era DarkGate, que foi substituído por PikaBot em outubro 2023.
Quão perigosos são DarkGate e PikaBot?
DarkGate é um malware modular que suporta vários tipos de comportamento malicioso. Sua primeira aparição aconteceu em 2017, mas tornou-se disponível para as massas apenas no verão de 2023. Esse, eventualmente, acabou com um aumento acentuado na sua distribuição. Entre os principais recursos, DarkGate possui acesso remoto hVNC, mineração de criptomoedas e criação de shell reverso. Permite keylogging, roubar dados de uma máquina infectada.
Por sua vez, PikaBot é um malware mais recente que apareceu pela primeira vez no início 2023 e consiste em um carregador e um módulo principal, com mecanismos para proteger contra depuração, VMs, e emulações. Na máquina infectada, cria um perfil de sistema e envia os dados coletados para o servidor de controle, aguardando novas instruções. Em resposta, o servidor envia comandos para carregar e executar módulos na forma de arquivos DLL ou PE, shellcode ou comandos de linha de comando. Tudo isso faz do PikaBot uma ferramenta universal.
Pelo que o QakBot é famoso?
QakBot, Ativo Desde 2008, era originalmente um Trojan bancário. Mas evoluiu ao longo do tempo para um poderoso downloader de malware capaz de implantar cargas adicionais, roubando informações, e permitindo movimento lateral. As campanhas maliciosas do Qbot estão provavelmente ligadas a hackers russos e são constantemente melhorando seus métodos de distribuição de malware.
Em 2020 o Trojan Qbot entrou pela primeira vez na lista do malware mais difundido no mundo. E desde então, o malware atingiu continuamente os boletins informativos nos próximos 3 anos. Entre seus vetores de ataque mais visíveis está a adoção da vulnerabilidade de dia 0 no Windows MSDT chamado Follina.
No entanto, o FBI, em colaboração com uma série de organizações internacionais de aplicação da lei, conduzido Operação Caça ao Pato, o que resultou em a destruição do QBot (QakBot) a infraestrutura em agosto 2023.
O FBI conseguiu penetrar no covil de um grupo cibercriminoso e tomar posse do computador de um de seus líderes. Depois disso, através da plataforma de jogos QBot, o FBI enviou um programa de destruição de botnet para os dispositivos afetados. Após o qual o malware foi removido de mais de 700 mil dispositivos infectados em todo o mundo. Mas, como vemos, o legado da botnet QBot continua vivo.