Фишинговые кампании, распространяющие такие семейства вредоносных программ, как DarkGate и PikaBot, придерживаются той же тактики, которая ранее использовалась при атаках с использованием ныне несуществующего троянца QakBot.
"Они включают в себя перехваченные потоки электронной почты в качестве первоначального заражения, URL-адреса с уникальными шаблонами, которые ограничивают доступ пользователей, и цепочку заражений, почти идентичную той, которую мы видели при доставке QakBot", - говорится в отчете Cofense, опубликованном в Hacker News.
"Используемые семейства вредоносных программ также соответствуют тому, что, как мы ожидаем, будут использовать филиалы QakBot".
QakBot, также называемый QBot и Pinkslipbot, был закрыт в рамках скоординированных усилий правоохранительных органов под кодовым названием Operation Duck Hunt ранее в августе этого года.
Использование DarkGate и PikaBot в этих кампаниях неудивительно, поскольку они оба могут выступать в качестве каналов доставки дополнительной полезной нагрузки на скомпрометированные хосты, что делает их привлекательными для киберпреступников.
Параллели PikaBot с QakBot были ранее подчеркнуты Zscaler в своем анализе вредоносного ПО в мае 2023 года, отметив сходство в "методах распространения, кампаниях и поведении вредоносных программ".
DarkGate, со своей стороны, использует передовые методы, позволяющие избежать обнаружения антивирусными системами, наряду с возможностями регистрации нажатий клавиш, запуска PowerShell и реализации обратной оболочки, которая позволяет ее операторам удаленно управлять зараженным хостом.
"Соединение является двунаправленным, что означает, что злоумышленники могут отправлять команды и получать ответы в режиме реального времени, что позволяет им перемещаться по системе жертвы, извлекать данные или выполнять другие вредоносные действия", - сказал Sekoia в новом техническом отчете о вредоносном ПО.
Проведенный Cofense анализ масштабной фишинговой кампании показывает, что она нацелена на широкий спектр секторов, при этом цепочки атак распространяют заминированный URL-адрес, указывающий на ZIP-архив в перехваченных потоках электронной почты.
ZIP-архив содержит JavaScript-дроппер, который, в свою очередь, связывается со вторым URL для загрузки и запуска вредоносного ПО DarkGate или PikaBot.
Был замечен примечательный вариант атак с использованием файлов надстроек Excel (XLL) вместо JavaScript-дропперов для доставки конечной полезной нагрузки.
"Успешное заражение DarkGate или PikaBot может привести к доставке продвинутого программного обеспечения для крипто-майнинга, инструментов разведки, программ-вымогателей или любого другого вредоносного файла, который злоумышленники пожелают установить на компьютер жертвы", - говорится в сообщении Cofense.
"Они включают в себя перехваченные потоки электронной почты в качестве первоначального заражения, URL-адреса с уникальными шаблонами, которые ограничивают доступ пользователей, и цепочку заражений, почти идентичную той, которую мы видели при доставке QakBot", - говорится в отчете Cofense, опубликованном в Hacker News.
"Используемые семейства вредоносных программ также соответствуют тому, что, как мы ожидаем, будут использовать филиалы QakBot".
QakBot, также называемый QBot и Pinkslipbot, был закрыт в рамках скоординированных усилий правоохранительных органов под кодовым названием Operation Duck Hunt ранее в августе этого года.
Использование DarkGate и PikaBot в этих кампаниях неудивительно, поскольку они оба могут выступать в качестве каналов доставки дополнительной полезной нагрузки на скомпрометированные хосты, что делает их привлекательными для киберпреступников.
Параллели PikaBot с QakBot были ранее подчеркнуты Zscaler в своем анализе вредоносного ПО в мае 2023 года, отметив сходство в "методах распространения, кампаниях и поведении вредоносных программ".
DarkGate, со своей стороны, использует передовые методы, позволяющие избежать обнаружения антивирусными системами, наряду с возможностями регистрации нажатий клавиш, запуска PowerShell и реализации обратной оболочки, которая позволяет ее операторам удаленно управлять зараженным хостом.
"Соединение является двунаправленным, что означает, что злоумышленники могут отправлять команды и получать ответы в режиме реального времени, что позволяет им перемещаться по системе жертвы, извлекать данные или выполнять другие вредоносные действия", - сказал Sekoia в новом техническом отчете о вредоносном ПО.
Проведенный Cofense анализ масштабной фишинговой кампании показывает, что она нацелена на широкий спектр секторов, при этом цепочки атак распространяют заминированный URL-адрес, указывающий на ZIP-архив в перехваченных потоках электронной почты.
ZIP-архив содержит JavaScript-дроппер, который, в свою очередь, связывается со вторым URL для загрузки и запуска вредоносного ПО DarkGate или PikaBot.
Был замечен примечательный вариант атак с использованием файлов надстроек Excel (XLL) вместо JavaScript-дропперов для доставки конечной полезной нагрузки.
"Успешное заражение DarkGate или PikaBot может привести к доставке продвинутого программного обеспечения для крипто-майнинга, инструментов разведки, программ-вымогателей или любого другого вредоносного файла, который злоумышленники пожелают установить на компьютер жертвы", - говорится в сообщении Cofense.
