Μια νέα καμπάνια phishing, που διανέμει το DarkGate malware, πρόσθεσε πρόσφατα και το PikaBot malware “στο παιχνίδι”, κάτι που την καθιστά την πιο προηγμένη καμπάνια phishing από τότε που καταργήθηκε η επιχείρηση Qakbot (ή QBot).
Η κακόβουλη εκστρατεία ξεκίνησε τον Σεπτέμβριο του 2023, αφού το FBI κατέλαβε και κατέστρεψε την υποδομή του QBot.
Σε μια νέα έκθεση της Cofense, οι ερευνητές εξηγούν ότι οι καμπάνιες DarkGate και Pikabot χρησιμοποιούν τακτικές και τεχνικές παρόμοιες με τις προηγούμενες εκστρατείες Qakbot. Αυτό δείχνει πιθανότατα ότι οι χειριστές του Qbot έχουν πλέον προχωρήσει σε νεότερα malware botnets.
Σύμφωνα με την Cofense, αυτή η phishing καμπάνια είναι πολύ επικίνδυνη για δύο λόγους: α) οι τακτικές, τεχνικές και διαδικασίες (TTP) που χρησιμοποιούνται, επιτρέπουν στα phishing emails να φτάσουν στους επιδιωκόμενους στόχους και β) τα κακόβουλα λογισμικά που διανέμονται έχουν προηγμένες δυνατότητες.
Δείτε επίσης: DarkGate: Χάκερ από το Βιετνάμ το χρησιμοποιούν για επιθέσεις
Το Qbot ήταν ένα από τα πιο δημοφιλή και επικίνδυνα malware botnets που διανέμονταν μέσω email και τώρα τα DarkGate και Pikabot είναι modular malware loaders με πολλές παρόμοιες δυνατότητες. Επομένως, οι επιχειρήσεις βρίσκονται και πάλι σε κίνδυνο. Το κενό του Qakbot ήρθαν να καλύψουν τα DarkGate και Pikabot malware.
Όπως και το Qbot, τα νέα malware loaders χρησιμοποιούνται για την αρχική πρόσβαση στα δίκτυα και για τη μετέπειτα πραγματοποίηση επιθέσεων ransomware, κατασκοπείας και κλοπής δεδομένων.
Η καμπάνια διανομής των DarkGate και Pikabot malware
Το περασμένο καλοκαίρι, εντοπίστηκε ένας μεγάλος αριθμός emails που ωθούσαν το κακόβουλο λογισμικό DarkGate, με τους φορείς απειλών να μεταβαίνουν στην εγκατάσταση του Pikabot ως κύριου payload τον Οκτώβριο του 2023.
Η επίθεση phishing ξεκινά με ένα email που είναι απάντηση ή προώθηση κλεμμένου thread συζήτησης. Αυτή η τεχνική δυσκολεύει τους χρήστες στον εντοπισμό της απάτης.
Οι χρήστες που κάνουν κλικ στην ενσωματωμένη διεύθυνση URL υποβάλλονται σε μια σειρά ελέγχων που επαληθεύουν ότι είναι έγκυροι στόχοι. Στη συνέχεια, καλούνται να κατεβάσουν ένα αρχείο ZIP που περιέχει ένα malware dropper που ανακτά το τελικό payload από έναν απομακρυσμένο πόρο.
Σύμφωνα με την Cofense, οι επιτιθέμενοι πειραματίστηκαν με πολλά αρχικά malware droppers για να προσδιορίσουν ποιο λειτουργεί καλύτερα.
Δείτε επίσης: Corsair: Ψεύτικες προσφορές θέσεων εργασίας στο LinkedIn διανέμουν το DarkGate malware
Το τελικό payload που χρησιμοποιήθηκε σε αυτές τις επιθέσεις ήταν το DarkGate malware έως τον Σεπτέμβριο του 2023. Τον Οκτώβριο του 2023, αντικαταστάθηκε από το PikaBot.
DarkGate και PikaBot
Το DarkGate εντοπίστηκε για πρώτη φορά το 2017, αλλά έγινε διαθέσιμο στην ευρύτερη κοινότητα του εγκλήματος στον κυβερνοχώρο μόλις το περασμένο καλοκαίρι. Γι’ αυτό το λόγο, έχουμε δει ραγδαία αύξηση στη διανομή του τους τελευταίους μήνες. Υποστηρίζει μια ποικιλία κακόβουλων συμπεριφορών, όπως hVNC για απομακρυσμένη πρόσβαση, εξόρυξη κρυπτονομισμάτων, reverse shell, keylogging, κλοπή στοιχείων από το πρόχειρο και κλοπή πληροφοριών (αρχεία, δεδομένα προγράμματος περιήγησης).
Από την άλλη μεριά, το PikaBot είναι ένα νεότερο κακόβουλο λογισμικό που εμφανίστηκε για πρώτη φορά στις αρχές του τρέχοντος έτους. Αποτελείται από έναν loader και μια βασική μονάδα. Το κακόβουλο λογισμικό δημιουργεί προφίλ μολυσμένων συστημάτων και στέλνει τα δεδομένα στην υποδομή command and control (C2), αναμένοντας περαιτέρω εντολές. Το C2 στέλνει εντολές που καθοδηγούν το κακόβουλο λογισμικό να κατεβάσει και να εκτελέσει μονάδες με τη μορφή αρχείων DLL ή PE, shellcode ή command-line commands.
Δείτε επίσης: LittleDrifter malware: Το νέο worm των Gamaredon hackers στοχεύει την Ουκρανία
Η Cofense προειδοποιεί ότι οι phishing εκστρατείες διανομής των PikaBot και DarkGate διευθύνονται από hackers με πολλές γνώσεις και δεξιότητες, γι’ αυτό οι οργανισμοί πρέπει να είναι πολύ προσεκτικοί.
Προστασία έναντι phishing
Ένας αποτελεσματικός τρόπος για την ανίχνευση και πρόληψη των επιθέσεων phishing είναι η εκπαίδευση των χρηστών. Οι χρήστες πρέπει να είναι ενημερωμένοι για τα χαρακτηριστικά μιας επίθεσης phishing και για το πώς να αναγνωρίζουν ύποπτα μηνύματα ηλεκτρονικού ταχυδρομείου ή ιστοσελίδες. Εκπαιδευτικά προγράμματα μπορούν να βοηθήσουν τους χρήστες να αναπτύξουν τις απαραίτητες δεξιότητες για την αντιμετώπιση των επιθέσεων phishing.
Ένα άλλο αποτελεσματικό μέτρο για την ανίχνευση και πρόληψη των επιθέσεων phishing είναι η χρήση ειδικών φίλτρων email και blacklists. Οι λίστες αυτές περιέχουν γνωστές κακόβουλες διευθύνσεις ηλεκτρονικού ταχυδρομείου ή ιστοσελίδες που χρησιμοποιούνται για phishing επιθέσεις. Οι φιλτραρισμένες λίστες μπορούν να βοηθήσουν τους χρήστες να αποφύγουν την αλληλεπίδραση με αυτές τις κακόβουλες πηγές.
Ένα ακόμη σημαντικό μέτρο για την πρόληψη των επιθέσεων phishing και κατ’ επέκταση τη μόλυνση από κάποιο malware, είναι η χρήση αξιόπιστων λύσεων ασφαλείας, όπως antivirus λογισμικού. Αυτά τα προγράμματα μπορούν να εντοπίσουν απειλές πριν να είναι πολύ αργά.
Τέλος, η τακτική ενημέρωση του λειτουργικού συστήματος και των εφαρμογών είναι απαραίτητη για την πρόληψη των επιθέσεων. Οι κακόβουλοι χρήστες χρησιμοποιούν συχνά ευπάθειες στο λογισμικό για να παραβιάσουν τους υπολογιστές και τις συσκευές των χρηστών. Οι ενημερώσεις ασφαλείας επιδιορθώνουν αυτές τις ευπάθειες και μειώνουν τον κίνδυνο κυβερνοεπιθέσεων.
Πηγή: www.bleepingcomputer.com