[TLP:CLEAR]
Resumo
PikaBot é uma família de malware loader, recentemente identificada em campanhas de malvertising, que se destaca por sua capacidade de disseminar diferentes tipos de malwares, incluindo ransomware, trojans bancários e spyware.
De acordo com a análise técnica realizada pela Zscaler, o malware é distribuído por meio de anúncios maliciosos, explorando vulnerabilidades nos navegadores dos usuários. A capacidade do PikaBot de baixar e executar diversos malwares representa uma ameaça significativa à segurança cibernética.
O Boletim Sec destaca a tendência atual de malvertising impulsionando a propagação do PikaBot, sublinhando a importância do esforço técnico para mitigar os riscos associados. Enigma Software fornece informações detalhadas sobre a remoção do PikaBot, destacando a necessidade de uma resposta rápida.
A análise de fontes abertas fornece insights adicionais sobre suas características e métodos de operação. Este recurso permite uma compreensão ampla da ameaça representada pelo PikaBot.
Estrutura do Malware
O PikaBot é um malware loader desenvolvido em C++, com apenas cerca de 120 KB de tamanho. O malware é composto dos seguintes módulos:
- Módulo de inicialização: Este módulo é responsável por iniciar o malware e carregar os módulos restantes.
- Módulo de comunicação: Este módulo é responsável por se comunicar com o servidor de comando e controle.
- Módulo de carregamento: Este módulo é responsável por baixar e executar outros malwares.
- Módulo de coleta de informações: Este módulo é responsável por coletar informações confidenciais do sistema.
Perfil de Ataque
O PikaBot apresenta um perfil de ataque altamente direcionado, visando usuários em busca de software legítimo. A sofisticação do malware é evidenciada pela sua distribuição por meio de campanha de malvertising, conforme observado em várias fontes, incluindo The Hacker News, Zscaler, Boletim Sec, Enigma Software, Malwarebytes e uma análise técnica disponível em um post no Medium.
Uma forma de vetor aplicada ao Pikabot é o phishing, particularmente utilizando arquivos pdf anexos. Os operadores de malware escolhem comumente os arquivos PDF para enganar os usuários.
Os PDFs parecem seguros e são amplamente utilizados, o que gera confiança. Os atores mal-intencionados podem inserir conteúdo prejudicial explorando vulnerabilidades em softwares de PDF. A ameaça tem interesse no fato de que este formato é compatível com muitos dispositivos, tornando mais fácil para os atacantes alcançarem um grande número de vítimas. Eles podem esconder coisas prejudiciais dentro do próprio arquivo, dificultando a detecção por ferramentas de segurança. Devido a isso, arquivos maliciosos muitas vezes passam despercebidos até serem abertos, tornando os PDFs uma escolha interessante para ataques cibernéticos.
Quando um usuário abre o arquivo PDF, ele apresenta links de sites falsos, mas que tem a aparência de serem legítimos. No entanto, o site contém erros perceptíveis, como erros de digitação e URLs aleatórias, indicando sua natureza maliciosa. Apesar da fachada convincente, essas discrepâncias funcionam como sinais de alerta e devem ser utilizados como pontos de atenção pelos usuários para identificar a natureza fraudulenta do arquivo.
A estratégia de ataque do PikaBot também envolve a exibição de anúncios maliciosos em resultados de pesquisa ou em sites legítimos, atraindo usuários em potencial. Ao clicar nesses anúncios, os usuários inadvertidamente iniciam o processo de download e infecção do sistema pelo malware. A capacidade do PikaBot de se camuflar como software legítimo aumenta a probabilidade de os usuários serem vitimados, buscando instalar um aplicativo confiável, mas inadvertidamente introduzindo o malware em seus sistemas.
A análise técnica fornecida pela Zscaler e o post detalhado no Medium oferecem dados sobre os métodos de operação do PikaBot, destacando sua habilidade de explorar vulnerabilidades nos navegadores dos usuários para garantir a eficácia de sua distribuição.
Análise do Diamond Model
1) Adversary: O atacante por trás do PikaBot demonstra diversas capacidades. A sofisticação do malware e a elaborada campanha de malvertising sugerem um grupo organizado e experiente. Os motivos para o ataque incluem a busca por informações confidenciais e a capacidade de causar danos ao sistema. O modelo de atividade do atacante destaca uma cuidadosa preparação, desde a aquisição do domínio até a execução das fases de engajamento, execução e propósito.
2) Infrastructure: A infraestrutura do PikaBot envolve dispositivos abusados, nomes de domínio C2 (Command and Control), localização dos servidores C2, tipos de servidores C2, mecanismos e estrutura de C2, gerenciamento e controle de dados, e caminhos de vazamento de dados. Os atacantes utilizam anúncios maliciosos como vetor para infectar sistemas, destacando a complexidade da infraestrutura por trás dessa campanha. O malware demonstra a capacidade de gerenciar e controlar eficientemente dados, bem como explorar caminhos de vazamento.
3) Capability: Os atacantes por trás do PikaBot exibem uma variedade de habilidades. Isso inclui a capacidade de conduzir reconhecimento, entregar payloads, explorar vulnerabilidades, implantar malwares controlados remotamente e desenvolver ferramentas personalizadas. A análise técnica da Zscaler e o post detalhado no Medium oferecem insights sobre a proficiência técnica dos atacantes, destacando a sofisticação nas etapas de preparação, engajamento e execução.
4) Target: O alvo do PikaBot abrange diversos países/regiões, setores industriais e, possivelmente, indivíduos específicos ou dados sensíveis. A campanha de malvertising tem como objetivo atrair usuários de todos os níveis, indicando uma abordagem ampla para a disseminação. A natureza do malware sugere que os atacantes podem adaptar seus alvos com base nas oportunidades identificadas durante a execução da campanha.
A partir destes dados podemos construir um pequeno relatório analítico que pode ser dividido nos seguintes estágios:
- Preparação: O atacante inicia o ciclo de ataque adquirindo um domínio e registrando anúncios maliciosos. O processo de criação desses anúncios maliciosos é elaborado com o objetivo de atrair usuários desavisados.
- Engajamento: A fase de engajamento ocorre quando um usuário, alvo da campanha de malvertising, clica no anúncio ou link malicioso. Este estágio é crucial para a introdução do PikaBot no sistema do usuário. O atacante se aproveita da confiança do usuário, induzindo a vítima a iniciar o download do malware.
- Execução: Uma vez que o usuário clica no anúncio, o PikaBot é baixado para o sistema. Esta fase destaca a capacidade do PikaBot de não apenas se infiltrar no sistema, mas também de executar operações adicionais, como o download e execução de outros malwares, conforme revelado em fontes abertas.
- Objetivo: O propósito final do ataque é revelado na capacidade do PikaBot, conforme detalhado em análises como a do Enigma Software. O malware pode ser utilizado para a coleta de informações confidenciais ou para causar danos ao sistema. A sofisticação do PikaBot evidencia a intenção do atacante de explorar o sistema comprometido de maneiras diversas.
Uso como vetor de ataque para Ransomware
Por suas características, o PikaBot pode ser usado como um vetor de ataque para ransomware. O malware pode ser usado para coletar informações confidenciais, como credenciais de login, informações de cartão de crédito e dados de clientes. Essas informações podem ser usadas para extorquir as vítimas. Desta forma, o PikaBot, além de ser um loader de malware, apresenta um potencial significativo como vetor de ataque para ransomware.
O PikaBot, uma vez instalado nos sistemas das vítimas, demonstra a capacidade de ser usado como um vetor eficaz para a introdução do artefato de ransomware. Essa ameaça é realçada pela campanha de malvertising. Além do payload dos artefatos de ransomware, as informações coletadas pelo PikaBot podem ser utilizadas para extorquir valores das vítimas, dupla extorsão, uma vez que o acesso a credenciais, dados financeiros e dados pessoais de clientes ou usuários proporciona uma oportunidade para os cibercriminosos. O potencial impacto financeiro nas vítimas é enfatizado pelas análises técnicas e relatórios de ameaças, alertando sobre as ramificações adversas dessa combinação de malware e ransomware.
Táticas, Técnicas e Procedimentos (TTPs)
O PikaBot utiliza uma variedade de TTPs para se propagar e se manter no sistema comprometido. Algumas dessas TTPs incluem:
- Malvertising: O malware é distribuído por meio de anúncios maliciosos.
- Escopo do sistema: O malware explora vulnerabilidades no sistema para obter acesso a mais recursos.
- Coleta de informações: O malware coleta informações confidenciais do sistema.
- Execução remota de código: O malware permite que o atacante execute código remotamente no sistema comprometido.
TTPs catalogadas no MITRE/ATT&CK ligadas ao QaBot
O PikaBot utiliza uma variedade de TTPs que estão catalogadas no MITRE/ATT&CK. Algumas dessas TTPs incluem:
- T1140.002 – Exploit Public-Facing Application: O malware explora vulnerabilidades em aplicativos voltados ao público para obter acesso ao sistema.
- T1133 – Account Discovery: O malware explora credenciais de login armazenadas no sistema para obter acesso a mais recursos.
- T1055 – Data from Local System: O malware coleta informações confidenciais do sistema.
- T1047 – Remote System Discovery: O malware explora vulnerabilidades no sistema para obter acesso a mais recursos.
- T1203 – Command and Control: O malware se comunica com um servidor de comando e controle para receber instruções.
Recomendações
As organizações devem tomar as seguintes medidas para se proteger do PikaBot:
- Instalar ativos de segurança atualizado: Sistemas de segurança atualizados podem ajudar a detectar e bloquear o malware.
- Usar um adblocker: Um adblocker pode ajudar a impedir que os usuários cliquem em anúncios maliciosos.
- Ter uma política de segurança: Uma política de segurança bem elaborada, baseada em uma correta análise de riscos, pode ajudar a proteger as organizações contra uma variedade de ameaças cibernéticas, inclusive o PikaBot.
- Aplicar o patch de segurança dos sistemas operacionais para resolver vulnerabilidades.
- Educar seus usuários para identificar e evitar anexos de e-mail suspeitos.
- Implementar filtros de e-mail para bloquear ou isolar anexos maliciosos.
- Realizar backups regulares de dados.
- Desenvolver e treinar um plano de prevenção, tratamento e resposta a incidentes cibernéticos.
Conclusão
O PikaBot é uma nova ameaça cibernética que representa um risco significativo para as organizações. O malware é capaz de coletar informações confidenciais e causar danos ao sistema. Com a ação de atores internacionais que desencadearam operação conjunta contra a infraestrutura do QBot, O PikaBot mostra-se como uma alternativa para grupos maliciosos, inclusive de ransomware. As organizações devem estar cientes dessa ameaça e tomar medidas para proteger seus sistemas.
IOC disponíveis em fontes abertas
- Hashes:
-
- MD5: 8c41d26039e68621a18606473864336c
- SHA1: 4710b0a40505a3c80936405677e922530e1806b4
- SHA256: 92153e88db63016334625514802d0d1019363989d7b3f6863947ce0e490c1006 – Pikabot Injector/Core module
- SHA256: a48c39cc45efea110a7c8edadcb6719f5d1ebbeebb570b345f47172d393c0821 – Pikabot Injector/Core module
- SHA256: 8ee9141074b48784c89aa5d3cd4010fcf4e6d467b618c8719970f78fcc24a365 – Pikabot Injector/Core module
- SHA256: a9db5aca01499f6ce404db22fb4ba3e4e0dc4b94a41c805c520bd39262df1ddc – Pikabot Injector/Core module
- SHA256: 347e2f0d8332dd2d9294d06544c051a302a2436da453b2ccfa2d7829e3a79944 – Pikabot Injector/Core module
- Sha256: 9bba8e59f0d922d6029ac81c17ab98b6aaf50c41267a3446c41f19787c74aa3c File Type — .pdf
- Sha256: 1419082b930472cc3110e640efb74566044d36df39ca40504c5a5c41d2019e38 File Type — .pdf
- Sha256: 10975e442a21b4e180074cd26b65a57759a914d5acb1c05f8807554dc58453b4
- Sha256: 098a53b002f0d520022b78984e1812fd050ba647d0c66860aab98d4716686d9d File Type — .pdf
- Sha256: 4c0fa59d0417f543444a338654cf5a3a1f7bf1aab9c900ade77aba15af0f7343 File Type — .pdf
- Outros IoC
IOC Description hxxps://129.153[.]135.83:2078 Command-and-Control server hxxps://132.148.79[.]222:2222 Command-and-Control server hxxps://45.154.24[.]57:2078 Command-and-Control server hxxps://45.85.235[.]39:2078 Command-and-Control server hxxps://94.199.173[.]6:2222 Command-and-Control server
Principais referências
- Diamond Model of Intrusion Analysis (https://teamt5.org/en/posts/what-is-diamond-model-of-intrusion-analysis/)
- The Hacker News: [New Malvertising Campaign Distributing PikaBot Malware Loader](https://thehackernews.com/2023/12/new-malvertising-campaign-distributing.html)
- Zscaler: [Technical Analysis of PikaBot](https://www.zscaler.com/blogs/security-research/technical-analysis-pikabot)
- Boletim Sec: [Malvertising está impulsionando a distribuição do malware PikaBot](https://boletimsec.com.br/malvertising-esta-impulsionando-a-distribuicao-do-malware-pikabot/)
- Enigma Software: [PikaBot Malware Removal Guide](https://www.enigmasoftware.com/pt/pikabotmalware-remocao/)
- Malwarebytes: [PikaBot Distributed via Malicious Ads](https://www.malwarebytes.com/blog/threat-intelligence/2023/12/pikabot-distributed-via-malicious-ads)
- PikaBot Official Website: [d01a.github.io/pikabot](https://d01a.github.io/pikabot/)
- Medium: [PikaBot Malware Technical Deep Dive and Comprehensive Analysis] (https://medium.com/@asmcybersecurity/pikabot-malware-technical-deep-dive-and-comprehensive-analysis-8047c1721169)
- BleepingComputer: [DarkGate and PikaBot Malware Emerge as QakBot’s Successors](https://www.bleepingcomputer.com/news/security/darkgate-and-pikabot-malware-emerge-as-qakbots-successors/)
[TLP:CLEAR]
Descubra mais sobre DCiber
Assine para receber os posts mais recentes por e-mail.