Το PikaBot ανήκει σε μια νέα οικογένεια malware που διανέμεται μέσω malspam καμπανιών και στοχεύει χρήστες που ψάχνουν νόμιμο λογισμικό, όπως το AnyDesk.
Το malware αποτελείται από έναν loader και μια βασική μονάδα, λειτουργώντας ως backdoor για να διανέμει άλλα κακόβουλα φορτία. Το PikaBot γνωστό και ως TA577 έχει εκμεταλλευτεί προηγουμένως τα QakBot, IcedID, SystemBC, SmokeLoader, Ursnif και Cobalt Strike.
Το PikaBot μολύνει μέσω καμπανιών malspam, κατά τις οποίες ο χρήστης ανακατευθύνεται σε έναν ψεύτικο ιστότοπο μέσω παραποιημένης διαφήμισης Google για το AnyDesk. Αφού γίνει η λήψη δακτυλικών αποτυπωμάτων, ο χρήστης ανακατευθύνεται στον προσαρμοσμένο τομέα τους μετά τη χρήση Cloudflare.
Διαβάστε περισσότερα: MrAnon Stealer: Κακόβουλο λογισμικό που παριστάνει υπηρεσία κρατήσεων
Αυτή η εξέλιξη υποδεικνύει μια πιθανή κοινή διαδικασία που χρησιμοποιείται από διάφορους παράγοντες απειλών, με την πιθανή ύπαρξη μιας μορφής υπηρεσίας “malvertising-as-a-service”.
Η αποκάλυψη προέρχεται από μια εταιρεία κυβερνοασφάλειας που ανιχνεύει αυξημένη δραστηριότητα σε κακόβουλες διαφημίσεις μέσω της αναζήτησης Google για δημοφιλές λογισμικό όπως Zoom, Advanced IP Scanner και WinSCP. Τα προγράμματα φόρτωσης HiroshimaNukes και FakeBat χρησιμοποιούνται για την εγκατάσταση κακόβουλου λογισμικού
που ακολουθείται από την εξαγωγή δεδομένων. Αυτή η αύξηση των επιθέσεων μέσω προγραμμάτων περιήγησης αποτελεί ένδειξη του τρόπου, με τον οποίο οι επιτιθέμενοι διεισδύουν σε δίκτυα-στόχους. Επιπλέον, αναφέρεται ένα νέο πρόσθετο κακόβουλο λογισμικό για τον Google Chrome με την ονομασία ParaSiteSnatcher, το οποίο επιτρέπει την παρακολούθηση και την εκμετάλλευση ευαίσθητων πληροφοριών.Το PikaBot malware σχεδιάστηκε για να επιτεθεί στη Λατινική Αμερική, χρησιμοποιώντας το API του Chrome για την κλοπή δεδομένων καθώς επίσης παρεμποδίζει την είσοδο του χρήστη και την επικοινωνία του με το πρόγραμμα περιήγησης ιστού.
Πηγή: thehackernews.com