В 2023 году было замечено, что злоумышленник по имени Water Curupira активно распространял вредоносное ПО PikaBot Loader в рамках спам-кампаний.
"Операторы PikaBot проводили фишинговые кампании, нацеливаясь на жертв с помощью двух его компонентов — загрузчика и основного модуля, — которые обеспечивали несанкционированный удаленный доступ и позволяли выполнять произвольные команды через установленное соединение с их сервером командования и контроля (C & C)", - говорится в опубликованном сегодня отчете Trend Micro.
Активность началась в первом квартале 2023 года и продолжалась до конца июня, прежде чем снова активизироваться в сентябре. Это также совпадает с предыдущими кампаниями, в которых использовалась аналогичная тактика для доставки QakBot, особенно теми, которые организованы киберпреступными группами, известными как TA571 и TA577.
Считается, что увеличение числа фишинговых кампаний, связанных с PikaBot, является результатом отключения QakBot в августе, когда DarkGate появился в качестве еще одной замены.
PikaBot - это в первую очередь загрузчик, что означает, что он предназначен для запуска другой полезной нагрузки, включая Cobalt Strike, законный постэксплуатационный инструментарий, который обычно выступает в качестве предшественника для развертывания программ-вымогателей.
Цепочки атак используют технику, называемую перехват потоков электронной почты, используя существующие потоки электронной почты, чтобы обманом заставить получателей открывать вредоносные ссылки или вложения, эффективно активируя последовательность выполнения вредоносного ПО.
Вложения ZIP-архива, которые содержат файлы JavaScript или IMG, используются в качестве стартовой площадки для PikaBot. Вредоносное ПО, со своей стороны, проверяет язык системы и останавливает выполнение, если оно является русским или украинским.
На следующем этапе программа собирает сведения о системе жертвы и пересылает их на сервер C & C в формате JSON. Кампании Water Curupira направлены на удаление Cobalt Strike, что впоследствии приводит к развертыванию программы-вымогателя Black Basta.
"Злоумышленник также провел несколько спам-кампаний DarkGate и небольшое количество кампаний IcedID в первые недели третьего квартала 2023 года, но с тех пор переключился исключительно на PikaBot", - сообщили в Trend Micro.
