Em 2023 pesquisadores da área de segurança da informação identificaram uma campanha de phishing altamente sofisticada que continha um malware apelidado de PikaBot. Essa operação de phishing já é considerada uma das mais sofisticadas desde o desmantelamento da Operação Qakbot, que até então era considerado o botnet de malware mais difundido por e-mail. O PikaBot compartilha muitos recursos com o Qakbot como carregadores modulares de malware e agora ambos representam uma ameaça significativa para as empresas. Esses novos carregadores de malware estão sendo usados por agentes de ameaças para obter acesso inicial às redes, levando potencialmente a ataques de ransomware, espionagem e roubo de dados.
O PikaBot. que é espalhado pelo Water Curupira através de spam de e-mail é uma ameaça contemporânea que consiste em um carregador e um módulo principal que executa a maioria das funções do malware, enquanto o carregador ajuda a realizar suas atividades maliciosas equipado com fortes mecanismos de antidepuração, anti-VM e anticlonagem. Essas características dificultam a análise do malware pelos pesquisadores, pois ele não pode ser detectado quando executado em programas de depuração ou lançado em Máquinas Virtuais (VMs).
O malware traça meticulosamente os perfis dos sistemas infectados e transmite os dados coletados para uma infraestrutura de comando/controle onde aguarda as próximas instruções. Os comandos de um servidor C2 (comando e controle), podem variar desde a injeção de shellcode arbitrário, DLLs ou arquivos executáveis até a distribuição de outras ferramentas maliciosas.
A principal função do Pikabot é “carregar” outros programas/componentes maliciosos em sistemas comprometidos. Em teoria, os carregadores podem infectar dispositivos com praticamente qualquer tipo de malware. Contudo, na prática, estes programas tendem a funcionar dentro de certos limites.
Vale ressaltar que o malware se espalha por meio de uma ampla variedade de técnicas. Normalmente, sua distribuição envolve, até certo ponto, táticas de phishing e engenharia social.
As evidências sugerem que o Pikabot está atualmente em desenvolvimento inicial, além disso, as campanhas PikaBot são orquestradas por atores de ameaças qualificados, cujas habilidades excedem as dos phishers comuns, portanto, quaisquer iterações futuras poderão ter recursos diferentes/adicionais. O que o torna uma ameaça insidiosa que representa um risco significativo para sistemas e organizações.
Os alvos do malware abrangem uma ampla gama de setores. A estratégia de infecção inclui o uso de URLs em threads de e-mail sequestrados, que levam a um arquivo ZIP contendo um dropper JavaScript, responsável por baixar e executar o malware. A presença de software como o Pikabot nos dispositivos pode levar a múltiplas infecções do sistema, diminuição do desempenho, falha do sistema, perda de dados, problemas de privacidade, danos a dispositivos físicos, perdas financeiras e roubo de identidade.
Proteger-se do Pikabot requer a implementação de medidas de segurança adequadas que incluem, mas não se limitam, a.
Prudência na interação com conteúdo online e que se evite clicar em links, e-mails ou em sites desconhecidos. Links não verificados podem redirecioná-lo para sites comprometidos que abrigam softwares maliciosos.
Ao baixar arquivos, certifique-se de que a fonte seja confiável e conhecida para minimizar o risco de download de arquivos potencialmente prejudiciais.
Proteja seus sistemas instalando um software antivírus confiável, Endpoint Detection & Response (EDR) e Security Email Gateway (SEG). Esses programas essenciais desempenham um papel crucial na prevenção da infiltração de malware na sua rede.
Aumente a conscientização entre seus funcionários sobre malware disfarçado de aplicativos legítimos.
Se você suspeitar que seu dispositivo está infectado com este software ou outro malware, execute uma verificação completa do sistema usando um antivírus e remova todas as ameaças imediatamente.
Saiba mais sobre o malware Pikabot e obtenha recomendações de segurança de nossa equipe. A Tecnews é líder no setor de segurança de informação. Comprometida em ajudar sua organização a se tornar mais resiliente, oferecemos suporte 24 horas por dia, 7 dias por semana, criando modelos de detecção de ameaças para melhorar continuamente a detecção gerenciada e o tempo de resposta. Ao fornecer visibilidade de sua rede e realizar varreduras proativas de ameaças, estamos focados na defesa de sua organização contra ameaças conhecidas e desconhecidas.
Referências:
https://www.techtudo.com.br/noticias/2014/01/cp2014-o-que-sao-botnets-e-como-se-proteger-veja-dicas-da-campus-party.ghtml
https://www.kaspersky.com.br/resource-center/threats/malware-protection
