Nova prijetnja zlonamjernog softvera PikaBot

PikaBot je sofisticirani backdoor trojanac koji se pojavio početkom 2023. godine, dizajniran da omogući napadačima daljinsku kontrolu preko zaraženih sistema. Koristi različite tehnike izbjegavanja, uključujući mjere protiv otklanjanja grešaka i detekciju virtuelnih mašina kako bi izbjegao otkrivanje i analizu.

Nova prijetnja zlonamjernog softvera PikaBot; Source: Bing Image Creator

PIKABOT

Prvi put otkriven u februaru 2023. godine, PikaBot je identifikovan kao modularni trojanac koji se sastoji od učitavača i osnovnog modula. Dijeli mnoge sličnosti sa trojancem Qakbot, pa tako koristi raznovrstan niz sofisticiranih metodologija infekcije i obično se isporučuje putem phishing napada i zlonamjernih reklama za pretragu. Međutim, korisni teret se isporučuje žrtvama u različitim formatima.

Kao što je već rečeno, ovaj zlonamjerni softver se sastoji iz dvije glavne komponente: programa za učitavanje (eng. loader) i osnovnog modula. Program za učitavanje je odgovoran za učitavanje glavnog modula u sistem, koji zatim izvršava zlonamjerne aktivnosti kao što su kripto rudarenje, instaliranje špijunskog softvera i ransomware zlonamjernog softvera, krađu akreditiva i podataka, kao i omogućavanje daljinske kontrole kompromitovanih sistema. Njegov modularni dizajn i prikriveno ponašanje čine ga značajnom prijetnjom sajber bezbjednosti.

DISTRIBUCIJA

Distribucija PikaBot zlonamjernog softvera je posmatrana kroz dvije osnovne metode: neželjena elektronske pošte i zlonamjerno oglašavanje:

Neželjena elektronske pošte

Unit 42 kompanije Palo Alto Networks je prvi put identifikovala PikaBot februaru 2023. godine kao Matanbuchus zlonamjerni softver, da bi se kasnije utvrdilo da je riječ o PikaBot zlonamjernom softveru. Distribucija se tada obavljala putem neželjene elektronske pošte sa prilogom OneNote datoteke u kojoj se nalazio PikaBot zlonamjerni softver. Ova aktivnost je pripisana zlonamjernom akteru TA577, koji je koristio DarkGate i PikaBot zajedno, pošto je operacija QakBot demontirana.

Uspješna infekcija za posljedicu ima primjenu DarkGate ili PikaBot zlonmjernog softvera koji mogu da isporuče dodatna zlonamjerna korisna opterećenja. Zlonamjerni akteri eksperimentišu sa različitim mehanizmima isporuke zlonamjernog softvera, kao što su JS ubacivači, Excel–DNA učitavači, VBS preuzimači i LNK preuzimači. Složenost, prilagodljivost i kontinuirana evolucija kampanje je ukazala na vještog zlonamjernog aktera.

Zlonamjerno oglašavanje

 Sigurnosni istraživači iz kompanije Malwarebytes su uočili distribuciju PikaBot zlonamjernog softvera putem zlonamjernog oglašavanja i pripisali ga zlonamjernom akteru TA577. Kampanja cilja Google pretrage za AnyDesk aplikaciju za daljinski pristup. Zlonamjerni akteri eksploatišu oglase za pretragu, koristeći neke tehnike zaobilaženja da bi se izbjegla Google bezbjednosna provjera za zlonamjerne internet stranice i oglase.

Za Google pretrage povezane za AnyDesk aplikaciju za daljinski pristup kampanja koristi mamac lokaciju na kojoj se nalazi PikaBot kao korisni teret, umjesto AnyDesk aplikacije. Zlonamjerni softver takođe strateški izbjegava otkrivanje koristeći digitalno potpisanu MSI datoteku za instalaciju, koja uspješno prolazi bez detekcije na VirusTotal platformi.

Zlonamjerni akteri primjenjuju URL praćenje preko legitimne marketinške platforme, efektivno zaobilazeći Google bezbjednosne mjere preusmjeravanjem na prilagođeni domen iza Cloudflare servisa. Tu je dodat JavaScript koji služi za identifikaciju virtuelnih mašina, obezbeđujući uspjeh kampanje zlonamjernog oglašavanja. Uočeni obrazac nagovještava potencijalni model za zlonamjerno oglašavanje kao usluga (eng. malvertising-as-a-service), naglašavajući zajedničke procese među zlonamjernim akterima koji ciljaju Google oglase i isporučuju lažne stranice distributerima zlonamjernog softvera.

Raznovrsnost PikaBot metoda isporuke je ogromna, obuhvatajući brojne mogućnosti i dva različita tipa nosivosti. Kada se izvrše, primarni korisni tereti, kao što su JS, PDF i XLL datoteke, generišu se sekundarni korisni tereti koji obuhvataju formate kao što su DLL, EXE, LNK i MSI datoteke. Ovaj opseg nosivosti dodaje kompleksnost i doprinosi složenosti PikaBot mehanizama isporuke.

FUNKCIONISANJE

Pokretanje procesa infekcije počinje preuzimanjem i izvršavanjem prve faze PikaBot programa za učitavanje koja se uvijek isporučuje u obliku Dynamic Link Library – DLL datoteke. U ranijim verzijama zlonamjernog softvera PikaBot je uspostavljao postojanost preko ključa u registrima sistema i zakazanog zadatka. Planirani zadatak bi izvršio komandno okruženje za preuzimanje i izvršavanje druge faze i osnovnog modula zlonamjernog softvera, koji se ubrizgava u legitimne Windows binarne datoteke.

U svojim novijim verzijama PikaBot zlonamjerni softver dolazi sa poboljšanim tehnikama protiv analize. Program za učitavanje korisnog tovara se isporučuje potencijalnoj žrtvi zapakovan i raspakuje se nakon izvršavanja. Međutim, zlonamjerni softver sada koristi tehniku u kojoj se instrukcije izvršavaju u memoriji od strane izvornog Windows API interfejsa, u pokušaju da izbjegne bezbjednosne mehanizme zaštite. Ovo se razlikuje od prethodne verzije, koja ubrizgava kôdni modul u različite legitimne Windows binarne datoteke. Osnovni modul je napravljen da oponaša legitimnu verziju binarne datoteke, uključujući legitimne stringove.

Kada se modul koda učita na uređaj, zlonamjerni softver prikuplja informacije o operativnom sistemu, domenu i eksfiltrira podatke. Zlonamjerni softver uključuje mogućnosti za izvršavanje proizvoljnih komandi, preuzimanje dodatnih korisnih tovara i ubacivanje komandnog okruženja u ciljni proces.

ZAKLJUČAK

Broj inficiranih uređaja Pikabot zlonamjernim softverom raste kako razne filijale zlonamjernih korisnika koriste ovaj softver za isporuku dodatnih korisnih tereta kao što su ransomware, kripto-rudari, kao i za krađu podataka i druge zlonamjerne radnje. Pored toga, zbog upotrebe tehnika antianalize i zamagljivanja sigurnosnim rješenjima je otežana detekcija ovog zlonamjernog softvera.

Zbog toga je veoma važno da se istraže mogućnosti ovog zlonamjernog softvera i otkriju obrasci njegovog ponašanja, kako bi se omogućilo sigurnosnim rješenjima da ga otkriju na vrijeme i zaustave prije nego što dođe do infekcije uređaja.

ZAŠTITA

Kako bi se izbjegla infekcija Pikabot zlonamjernim softverom korisnicima i poslovnim organizacijama se preporučuje:

• Ažuriranje svih uređaja i softvera je ključno za smanjenje rizika od infekcije zlonamjernim softverom. Proizvođači često objavljuju bezbjednosna ažuriranja i ispravke kako bi riješili probleme poznatih ranjivosti. Blagovremenom primjenom ovih ažuriranja, korisnici mogu da zatvore potencijalne ulazne tačke,
• Koristiti provjerena sigurnosna riješenja opremljena naprednim mehanizmima za otkrivanje prijetnji i prevenciju da bi se efikasno identifikovale i spriječile zlonamjerne aktivnosti,
• Redovno praćenje mrežnog saobraćaja radi neuobičajenih aktivnosti i porasta zahteva, kao i redovni pregled i ažuriranje procesa i alata za analizu mrežnog saobraćaja,
• Upotreba jakih i jedinstvenih lozinki za svaki korisnički nalog posebno, njihovo redovno ažuriranje, kao i korištenje prednosti menadžera lozinki i autentifikacije u više koraka (eng. multi-factor authentication – MFA),
• Redovno održavanje programa obuke korisnika kako bi se edukovali o načinima prepoznavanja phishing napada, zlonamjernih aktivnosti, potencijalnih botnet napada i drugih povezanih aktivnosti, kako bi se kod korisnika stvorila kultura svjesne sajber bezbjednosti  koja će omogućiti prepoznavanje i prijavu sumnjivih aktivnosti,
• Koristiti segmentaciju mreže kako bi se odvojili vitalni sistemi od manje sigurnih oblasti mreže uz ograničenje neželjene komunikacije između segmenata,
• Redovno pravljenje rezervnih kopija uz pravilnu strategiju čuvanja je posljednja odbrana od gubitka podataka i omogućava njihovo vraćanje,
• Dobar plan odgovara na sajber prijetnju je ključan za svaku organizaciju kako bi mogla da brzo reaguje u slučaj sajber incidenta.