blank

blank

[TLP:CLEAR]

Resumo

PikaBot é uma família de malware loader, recentemente identificada em campanhas de malvertising, que se destaca por sua capacidade de disseminar diferentes tipos de malwares, incluindo ransomware, trojans bancários e spyware. 

De acordo com a análise técnica realizada pela Zscaler, o malware é distribuído por meio de anúncios maliciosos, explorando vulnerabilidades nos navegadores dos usuários. A capacidade do PikaBot de baixar e executar diversos malwares representa uma ameaça significativa à segurança cibernética.

O Boletim Sec destaca a tendência atual de malvertising impulsionando a propagação do PikaBot, sublinhando a importância do esforço técnico para  mitigar os riscos associados. Enigma Software fornece informações detalhadas sobre a remoção do PikaBot, destacando a necessidade de uma resposta rápida.

A análise de fontes abertas fornece insights adicionais sobre suas características e métodos de operação. Este recurso permite uma compreensão ampla da ameaça representada pelo PikaBot.

Estrutura do Malware

O PikaBot é um malware loader desenvolvido em C++, com apenas cerca de 120 KB de tamanho. O malware é composto dos seguintes módulos:

  • Módulo de inicialização: Este módulo é responsável por iniciar o malware e carregar os módulos restantes.
  • Módulo de comunicação: Este módulo é responsável por se comunicar com o servidor de comando e controle.
  • Módulo de carregamento: Este módulo é responsável por baixar e executar outros malwares.
  • Módulo de coleta de informações: Este módulo é responsável por coletar informações confidenciais do sistema.

Perfil de Ataque

O PikaBot apresenta um perfil de ataque altamente direcionado, visando usuários em busca de software legítimo. A sofisticação do malware é evidenciada pela sua distribuição por meio de campanha de malvertising, conforme observado em várias fontes, incluindo The Hacker News, Zscaler, Boletim Sec, Enigma Software, Malwarebytes e uma análise técnica  disponível em um post no Medium.

Uma forma de vetor aplicada ao Pikabot é o phishing, particularmente utilizando arquivos pdf anexos. Os operadores de malware escolhem comumente os arquivos PDF para enganar os usuários. 

Os PDFs parecem seguros e são amplamente utilizados, o que gera confiança. Os atores mal-intencionados podem inserir conteúdo prejudicial explorando vulnerabilidades em softwares de PDF. A ameaça tem interesse no fato de que este formato é compatível  com muitos dispositivos, tornando mais fácil para os atacantes alcançarem um grande número de vítimas. Eles podem esconder coisas prejudiciais dentro do próprio arquivo, dificultando a detecção por ferramentas de segurança. Devido a isso, arquivos maliciosos muitas vezes passam despercebidos até serem abertos, tornando os PDFs uma escolha interessante para ataques cibernéticos.

Quando um usuário abre o arquivo PDF, ele apresenta links de sites falsos, mas que tem a aparência de serem legítimos. No entanto, o site contém erros perceptíveis, como erros de digitação e URLs aleatórias, indicando sua natureza maliciosa. Apesar da fachada convincente, essas discrepâncias funcionam como sinais de alerta e devem ser utilizados como pontos de atenção pelos usuários para identificar a natureza fraudulenta do arquivo.

blank

Fonte: https://medium.com/@asmcybersecurity/pikabot-malware-technical-deep-dive-and-comprehensive-analysis-8047c1721169

A estratégia de ataque do PikaBot também envolve a exibição de anúncios maliciosos em resultados de pesquisa ou em sites legítimos, atraindo usuários em potencial. Ao clicar nesses anúncios, os usuários inadvertidamente iniciam o processo de download e infecção do sistema pelo malware. A capacidade do PikaBot de se camuflar como software legítimo aumenta a probabilidade de os usuários serem vitimados, buscando instalar um aplicativo confiável, mas inadvertidamente introduzindo o malware em seus sistemas.

A análise técnica fornecida pela Zscaler e o post detalhado no Medium oferecem dados sobre os métodos de operação do PikaBot, destacando sua habilidade de explorar vulnerabilidades nos navegadores dos usuários para garantir a eficácia de sua distribuição.

Análise do Diamond Model

1) Adversary: O atacante por trás do PikaBot demonstra diversas capacidades. A sofisticação do malware e a elaborada campanha de malvertising sugerem um grupo organizado e experiente. Os motivos para o ataque incluem a busca por informações confidenciais e a capacidade de causar danos ao sistema. O modelo de atividade do atacante destaca uma cuidadosa preparação, desde a aquisição do domínio até a execução das fases de engajamento, execução e propósito.

2) Infrastructure: A infraestrutura do PikaBot envolve dispositivos abusados, nomes de domínio C2 (Command and Control), localização dos servidores C2, tipos de servidores C2, mecanismos e estrutura de C2, gerenciamento e controle de dados, e caminhos de vazamento de dados. Os atacantes utilizam anúncios maliciosos como vetor para infectar sistemas, destacando a complexidade da infraestrutura por trás dessa campanha. O malware demonstra a capacidade de gerenciar e controlar eficientemente dados, bem como explorar caminhos de vazamento.

3) Capability: Os atacantes por trás do PikaBot exibem uma variedade de habilidades. Isso inclui a capacidade de conduzir reconhecimento, entregar payloads, explorar vulnerabilidades, implantar malwares controlados remotamente e desenvolver ferramentas personalizadas. A análise técnica da Zscaler e o post detalhado no Medium oferecem insights sobre a proficiência técnica dos atacantes, destacando a sofisticação nas etapas de preparação, engajamento e execução.

4) Target: O alvo do PikaBot abrange diversos países/regiões, setores industriais e, possivelmente, indivíduos específicos ou dados sensíveis. A campanha de malvertising tem como objetivo atrair usuários de todos os níveis, indicando uma abordagem ampla para a disseminação. A natureza do malware sugere que os atacantes podem adaptar seus alvos com base nas oportunidades identificadas durante a execução da campanha.

A partir destes dados podemos construir um pequeno relatório analítico que pode ser dividido nos seguintes estágios:

  • Preparação: O atacante inicia o ciclo de ataque adquirindo um domínio e registrando anúncios maliciosos. O processo de criação desses anúncios maliciosos é elaborado com o objetivo de atrair usuários desavisados.
  • Engajamento: A fase de engajamento ocorre quando um usuário, alvo da campanha de malvertising, clica no anúncio ou link malicioso. Este estágio é crucial para a introdução do PikaBot no sistema do usuário. O atacante se aproveita da confiança do usuário, induzindo a vítima a iniciar o download do malware.
  • Execução: Uma vez que o usuário clica no anúncio, o PikaBot é baixado para o sistema. Esta fase destaca a capacidade do PikaBot de não apenas se infiltrar no sistema, mas também de executar operações adicionais, como o download e execução de outros malwares, conforme revelado em fontes abertas.
  • Objetivo: O propósito final do ataque é revelado na capacidade do PikaBot, conforme detalhado em análises como a do Enigma Software. O malware pode ser utilizado para a coleta de informações confidenciais ou para causar danos ao sistema. A sofisticação do PikaBot evidencia a intenção do atacante de explorar o sistema comprometido de maneiras diversas.

Uso como vetor de ataque para Ransomware

Por suas características, o PikaBot pode ser usado como um vetor de ataque para ransomware. O malware pode ser usado para coletar informações confidenciais, como credenciais de login, informações de cartão de crédito e dados de clientes. Essas informações podem ser usadas para extorquir as vítimas. Desta forma, o PikaBot, além de ser um loader de malware, apresenta um potencial significativo como vetor de ataque para ransomware. 

O PikaBot, uma vez instalado nos sistemas das vítimas, demonstra a capacidade de ser usado como um vetor eficaz para a introdução do artefato de ransomware. Essa ameaça é realçada pela campanha de malvertising. Além do payload dos artefatos de ransomware, as informações coletadas pelo PikaBot podem ser utilizadas para extorquir valores das vítimas, dupla extorsão, uma vez que o acesso a credenciais, dados financeiros e dados pessoais de clientes ou usuários proporciona uma oportunidade para os cibercriminosos. O potencial impacto financeiro nas vítimas é enfatizado pelas análises técnicas e relatórios de ameaças, alertando sobre as ramificações adversas dessa combinação de malware e ransomware.

Táticas, Técnicas e Procedimentos (TTPs)

O PikaBot utiliza uma variedade de TTPs para se propagar e se manter no sistema comprometido. Algumas dessas TTPs incluem:

  • Malvertising: O malware é distribuído por meio de anúncios maliciosos.
  • Escopo do sistema: O malware explora vulnerabilidades no sistema para obter acesso a mais recursos.
  • Coleta de informações: O malware coleta informações confidenciais do sistema.
  • Execução remota de código: O malware permite que o atacante execute código remotamente no sistema comprometido.

TTPs catalogadas no MITRE/ATT&CK ligadas ao QaBot

O PikaBot utiliza uma variedade de TTPs que estão catalogadas no MITRE/ATT&CK. Algumas dessas TTPs incluem:

  • T1140.002 – Exploit Public-Facing Application: O malware explora vulnerabilidades em aplicativos voltados ao público para obter acesso ao sistema.
  • T1133 – Account Discovery: O malware explora credenciais de login armazenadas no sistema para obter acesso a mais recursos.
  • T1055 – Data from Local System: O malware coleta informações confidenciais do sistema.
  • T1047 – Remote System Discovery: O malware explora vulnerabilidades no sistema para obter acesso a mais recursos.
  • T1203 – Command and Control: O malware se comunica com um servidor de comando e controle para receber instruções.

Recomendações

As organizações devem tomar as seguintes medidas para se proteger do PikaBot:

  • Instalar ativos de segurança atualizado: Sistemas de segurança atualizados podem ajudar a detectar e bloquear o malware.
  • Usar um adblocker: Um adblocker pode ajudar a impedir que os usuários cliquem em anúncios maliciosos.
  • Ter uma política de segurança: Uma política de segurança bem elaborada, baseada em uma correta análise de riscos, pode ajudar a proteger as organizações contra uma variedade de ameaças cibernéticas, inclusive o PikaBot.
  • Aplicar o patch de segurança dos sistemas operacionais para resolver vulnerabilidades.
  • Educar seus usuários para identificar e evitar anexos de e-mail suspeitos.
  • Implementar filtros de e-mail para bloquear ou isolar anexos maliciosos.
  • Realizar backups regulares de dados.
  • Desenvolver e treinar um plano de prevenção, tratamento e resposta a incidentes cibernéticos.

Conclusão

O PikaBot é uma nova ameaça cibernética que representa um risco significativo para as organizações. O malware é capaz de coletar informações confidenciais e causar danos ao sistema. Com a ação de atores internacionais que desencadearam operação conjunta contra a infraestrutura do QBot, O PikaBot mostra-se como uma alternativa para grupos maliciosos, inclusive de ransomware. As organizações devem estar cientes dessa ameaça e tomar medidas para proteger seus sistemas.

IOC disponíveis em fontes abertas

  • Hashes:
    • MD5: 8c41d26039e68621a18606473864336c
    • SHA1: 4710b0a40505a3c80936405677e922530e1806b4
    • SHA256: 92153e88db63016334625514802d0d1019363989d7b3f6863947ce0e490c1006 – Pikabot Injector/Core module
    • SHA256: a48c39cc45efea110a7c8edadcb6719f5d1ebbeebb570b345f47172d393c0821 – Pikabot Injector/Core module
    • SHA256: 8ee9141074b48784c89aa5d3cd4010fcf4e6d467b618c8719970f78fcc24a365 – Pikabot Injector/Core module
    • SHA256: a9db5aca01499f6ce404db22fb4ba3e4e0dc4b94a41c805c520bd39262df1ddc – Pikabot Injector/Core module
    • SHA256: 347e2f0d8332dd2d9294d06544c051a302a2436da453b2ccfa2d7829e3a79944 – Pikabot Injector/Core module
    • Sha256: 9bba8e59f0d922d6029ac81c17ab98b6aaf50c41267a3446c41f19787c74aa3c File Type — .pdf
    • Sha256: 1419082b930472cc3110e640efb74566044d36df39ca40504c5a5c41d2019e38 File Type — .pdf
    • Sha256: 10975e442a21b4e180074cd26b65a57759a914d5acb1c05f8807554dc58453b4
    • Sha256: 098a53b002f0d520022b78984e1812fd050ba647d0c66860aab98d4716686d9d File Type — .pdf
    • Sha256: 4c0fa59d0417f543444a338654cf5a3a1f7bf1aab9c900ade77aba15af0f7343 File Type — .pdf
  • Outros IoC
    IOC Description
    hxxps://129.153[.]135.83:2078 Command-and-Control server
    hxxps://132.148.79[.]222:2222 Command-and-Control server
    hxxps://45.154.24[.]57:2078 Command-and-Control server
    hxxps://45.85.235[.]39:2078 Command-and-Control server
    hxxps://94.199.173[.]6:2222 Command-and-Control server

Principais referências

  1. Diamond Model of Intrusion Analysis (https://teamt5.org/en/posts/what-is-diamond-model-of-intrusion-analysis/)
  2. The Hacker News: [New Malvertising Campaign Distributing PikaBot Malware Loader](https://thehackernews.com/2023/12/new-malvertising-campaign-distributing.html)
  3. Zscaler: [Technical Analysis of PikaBot](https://www.zscaler.com/blogs/security-research/technical-analysis-pikabot)
  4. Boletim Sec: [Malvertising está impulsionando a distribuição do malware PikaBot](https://boletimsec.com.br/malvertising-esta-impulsionando-a-distribuicao-do-malware-pikabot/)
  5. Enigma Software: [PikaBot Malware Removal Guide](https://www.enigmasoftware.com/pt/pikabotmalware-remocao/)
  6. Malwarebytes: [PikaBot Distributed via Malicious Ads](https://www.malwarebytes.com/blog/threat-intelligence/2023/12/pikabot-distributed-via-malicious-ads)
  7. PikaBot Official Website: [d01a.github.io/pikabot](https://d01a.github.io/pikabot/)
  8. Medium: [PikaBot Malware Technical Deep Dive and Comprehensive Analysis] (https://medium.com/@asmcybersecurity/pikabot-malware-technical-deep-dive-and-comprehensive-analysis-8047c1721169)
  9. BleepingComputer: [DarkGate and PikaBot Malware Emerge as QakBot’s Successors](https://www.bleepingcomputer.com/news/security/darkgate-and-pikabot-malware-emerge-as-qakbots-successors/)

[TLP:CLEAR]

ARTIGOS RELACIONADOSMais do autor