Um ator de ameaças chamado Water Curupira tem sido observado ativamente distribuindo o malware PikaBot loader como parte de campanhas de spam em 2023.
"Os operadores do PikaBot executaram campanhas de phishing, visando vítimas por meio de seus dois componentes - um loader e um módulo central - que possibilitaram o acesso remoto não autorizado e permitiram a execução de comandos arbitrários por meio de uma conexão estabelecida com o servidor de comando e controle (C&C)", disse Trend Micro em um relatório publicado hoje.
A atividade começou no primeiro trimestre de 2023 e durou até o final de junho, antes de acelerar novamente em setembro.
Também se sobrepõe a campanhas anteriores que usaram táticas semelhantes para entregar o QakBot, especificamente aquelas orquestradas por grupos de crimes cibernéticos conhecidos como TA571 e TA577.
Acredita-se que o aumento no número de campanhas de phishing relacionadas ao PikaBot é o resultado da derrubada do QakBot em agosto, com o DarkGate surgindo como outra substituição.
PikaBot é principalmente um loader, o que significa que foi projetado para lançar outro payload, incluindo Cobalt Strike, um kit de ferramentas pós-exploração legítimo que normalmente age como precursor do deployment de ransomware.
As cadeias de ataque aproveitam uma técnica chamada hijacking de thread de email, empregando threads de email existentes para enganar os destinatários a abrir links ou anexos maliciosos, ativando efetivamente a sequência de execução do malware.
Os anexos em arquivo ZIP, que contêm arquivos JavaScript ou IMG, são usados como plataforma de lançamento para o PikaBot.
O malware, por sua vez, verifica o idioma do sistema e interrompe a execução se for russo ou ucraniano.
No próximo passo, ele coleta detalhes sobre o sistema da vítima e os encaminha para um servidor C&C no formato JSON.
As campanhas do Water Curupira são com o propósito de lançar o Cobalt Strike, o que subsequentemente leva ao deployment do ransomware Black Basta.
"O ator de ameaças também conduziu diversas campanhas de spam DarkGate e um pequeno número de campanhas IcedID durante as primeiras semanas do terceiro trimestre de 2023, mas desde então passou exclusivamente para o PikaBot", disse Trend Micro.
Publicidade
O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...