Campanhas de phishing que entregam famílias de malwares como DarkGate e PikaBot estão seguindo as mesmas táticas usadas anteriormente em ataques que utilizavam o agora extinto trojan QakBot.
"Estes incluem threads de email sequestrados como a infecção inicial, URLs com padrões únicos que limitam o acesso do usuário e uma cadeia de infecção quase idêntica ao que vimos com a entrega de QakBot", disse Cofense em um relatório compartilhado com The Hacker News.
"As famílias de malware usadas também seguem o que esperaríamos que os afiliados de QakBot usassem."
QakBot, também chamado de QBot e Pinkslipbot, foi encerrado como parte de um esforço coordenado da aplicação da lei chamado Operação Duck Hunt em agosto deste ano.
O uso de DarkGate e PikaBot nessas campanhas não é surpreendente, pois ambos podem agir como condutos para entregar payloads a hosts comprometidos, tornando-os uma opção atraente para cybercriminosos.
As semelhanças de PikaBot com QakBot foram destacadas anteriormente por Zscaler em sua análise do malware em maio de 2023, notando semelhanças nos "métodos de distribuição, campanhas e comportamentos de malware."
DarkGate, por sua vez, incorpora técnicas avançadas para evitar a detecção pelos sistemas antivírus, além de ter capacidades para registrar pressionamentos de teclas, executar PowerShell e implementar um shell reverso que permite aos seus operadores comandarem um host infectado remotamente.
"A conexão é bidirecional, o que significa que os invasores podem enviar comandos e receber respostas em tempo real, permitindo que eles naveguem pelo sistema da vítima, exfiltram dados ou realizem outras ações maliciosas", disse Sekoia em um novo relatório técnico do malware.
A análise da Cofense da campanha de phishing de alto volume mostra que ela tem como alvo uma ampla gama de setores, com as cadeias de ataque propagando uma URL armadilhada apontando para um arquivo ZIP em threads de email sequestrados.
O arquivo ZIP contém um dropper JavaScript que, por sua vez, contata uma segunda URL para baixar e executar o malware DarkGate ou PikaBot.
Uma variante notável dos ataques foi observada aproveitando arquivos de complemento do Excel (XLL) em vez de droppers JavaScript para entregar as payloads.
"Uma infecção bem-sucedida de DarkGate ou PikaBot poderia levar à entrega de software avançado de mineração de criptomoedas, ferramentas de reconhecimento, ransomware ou qualquer outro arquivo malicioso que os atores de ameaças desejem instalar na máquina da vítima", disse Cofense.
Publicidade
Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...