Alerta: Hackers da Water Curupira distribuindo ativamente o Malware do PikaBot Loader
10 de Janeiro de 2024

Um ator de ameaças chamado Water Curupira tem sido observado ativamente distribuindo o malware PikaBot loader como parte de campanhas de spam em 2023.

"Os operadores do PikaBot executaram campanhas de phishing, visando vítimas por meio de seus dois componentes - um loader e um módulo central - que possibilitaram o acesso remoto não autorizado e permitiram a execução de comandos arbitrários por meio de uma conexão estabelecida com o servidor de comando e controle (C&C)", disse Trend Micro em um relatório publicado hoje.

A atividade começou no primeiro trimestre de 2023 e durou até o final de junho, antes de acelerar novamente em setembro.

Também se sobrepõe a campanhas anteriores que usaram táticas semelhantes para entregar o QakBot, especificamente aquelas orquestradas por grupos de crimes cibernéticos conhecidos como TA571 e TA577.

Acredita-se que o aumento no número de campanhas de phishing relacionadas ao PikaBot é o resultado da derrubada do QakBot em agosto, com o DarkGate surgindo como outra substituição.

PikaBot é principalmente um loader, o que significa que foi projetado para lançar outro payload, incluindo Cobalt Strike, um kit de ferramentas pós-exploração legítimo que normalmente age como precursor do deployment de ransomware.

As cadeias de ataque aproveitam uma técnica chamada hijacking de thread de email, empregando threads de email existentes para enganar os destinatários a abrir links ou anexos maliciosos, ativando efetivamente a sequência de execução do malware.

Os anexos em arquivo ZIP, que contêm arquivos JavaScript ou IMG, são usados como plataforma de lançamento para o PikaBot.

O malware, por sua vez, verifica o idioma do sistema e interrompe a execução se for russo ou ucraniano.

No próximo passo, ele coleta detalhes sobre o sistema da vítima e os encaminha para um servidor C&C no formato JSON.

As campanhas do Water Curupira são com o propósito de lançar o Cobalt Strike, o que subsequentemente leva ao deployment do ransomware Black Basta.

"O ator de ameaças também conduziu diversas campanhas de spam DarkGate e um pequeno número de campanhas IcedID durante as primeiras semanas do terceiro trimestre de 2023, mas desde então passou exclusivamente para o PikaBot", disse Trend Micro.

Publicidade

Já viu o Cyberpunk Guide?

Imagine voltar ao tempo dos e-zines e poder desfrutar de uma boa revista contendo as últimas novidades, mas na pegada hacking old school.
Acesse gratuitamente o Cyberpunk Guide e fique por dentro dos mais modernos dispositivos usados pelos hackers. Saiba mais...