Nova Campanha de Malvertising Distribui PikaBot Disfarçado como Software Popular
20 de Dezembro de 2023

O carregador de malware conhecido como PikaBot está sendo distribuído como parte de uma campanha de malvertising que mira usuários em busca de softwares legítimos como o AnyDesk.

"PikaBot costumava ser distribuído apenas por campanhas de malspam semelhantes ao QakBot e se tornou uma das payloads preferidas para um invasor conhecido como TA577", disse Jérôme Segura da Malwarebytes.

A família do malware, que apareceu pela primeira vez no início de 2023, consiste em um carregador e um módulo principal que permite que ele opere como uma backdoor, além de um distribuidor de outras payloads.

Isso permite que os invasores obtenham acesso remoto não autorizado aos sistemas comprometidos e transmitam comandos de um servidor de comando e controle (C2), que vão desde shellcodes arbitrários, DLLs ou arquivos executáveis, até outras ferramentas maliciosas como o Cobalt Strike.

Um dos invasores que utilizam o PikaBot em seus ataques é o TA577, um prolífico invasor de crimes cibernéticos que, no passado, entregou QakBot, IcedID, SystemBC, SmokeLoader, Ursnif e Cobalt Strike.

No mês passado, surgiu que o PikaBot, juntamente com o DarkGate, está sendo propagado por campanhas de malspam que espelham as do QakBot.

"A infecção pelo Pikabot levou ao Cobalt Strike em 207.246.99[.]159:443 usando o domínio masterunis[.]net", disse recentemente a Unidade 42 da Palo Alto Networks.

O vetor de infecção inicial mais recente é um anúncio malicioso do Google para o AnyDesk que, quando clicado por uma vítima na página de resultados da pesquisa, redireciona para um site falso denominado anadesky.ovmv[.]net que aponta para um instalador MSI malicioso hospedado no Dropbox.

Vale a pena ressaltar que o redirecionamento para o site falso só ocorre após analisar a solicitação, e apenas se ela não estiver vindo de uma máquina virtual.

"Os invasores estão contornando as checagens de segurança do Google com uma URL de rastreamento via uma plataforma de marketing legítima para redirecionar para seu domínio personalizado atrás do Cloudflare", explicou Segura.

"Neste ponto, apenas endereços IP limpos são encaminhados para a próxima etapa."

A Malwarebytes disse que os ataques lembram cadeias de malvertising previamente identificadas usadas para disseminar outro carregador de malware conhecido como FakeBat (também conhecido como EugenLoader).

"Isso é particularmente interessante porque aponta para um processo comum usado por diferentes invasores", disse Segura.

"Talvez, isso seja algo como 'malvertising-como-serviço', onde anúncios do Google e páginas de isca são fornecidos para distribuidores de malware."

A divulgação vem à medida que a empresa de cibersegurança disse ter detectado um aumento em anúncios maliciosos através de pesquisas no Google para softwares populares como Zoom, Advanced IP Scanner e WinSCP para entregar um carregador nunca antes visto chamado HiroshimaNukes, bem como o FakeBat.

"[HiroshimaNukes] usa várias técnicas para burlar a detecção desde o carregamento lateral de DLL até payloads muito grandes", disse Segura.

"Seu objetivo é soltar malware adicional, tipicamente um ladrão seguido de exfiltração de dados."

O aumento de malvertising é uma indicação de como ataques baseados em navegador atuam como canais para infiltrar redes de alvo.

Isso também inclui um novo framework de extensão do Google Chrome, apelidado de ParaSiteSnatcher, que permite que os invasores "monitorem, manipulem e exfiltrem informações extremamente sensíveis de múltiplas fontes."

Projetada especificamente para comprometer usuários na América Latina, a extensão desonesta se destaca pelo uso da API do navegador Chrome para interceptar e exfiltrar todas as solicitações POST contendo informações sensíveis de conta e financeiras.

Ela é baixada através de um downloader VBScript hospedado no Dropbox e Google Cloud e instalado em um sistema infectado.

"Uma vez instalada, a extensão se manifesta com a ajuda de extensas permissões habilitadas através da extensão Chrome, permitindo que ela manipule sessões da web, solicitações da web e rastreie interações do usuário em várias guias usando a API de guias do Chrome", disse a Trend Micro no mês passado.

"O malware inclui vários componentes que facilitam sua operação, scripts de conteúdo que permitem a injecção de código malicioso em páginas da web, monitoram guias do Chrome e interceptam a entrada do usuário e a comunicação do navegador da web."

Publicidade

Não compre curso de Pentest

Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...