Según los investigadores, la campaña de phishing que promueve el malware DarkGate y PikaBot lo llevan a cabo los autores o sucesores del troyano QBot (también conocido como QakBot). Los especialistas en seguridad de la información creen que esta es actualmente la campaña de phishing más compleja que ha aparecido desde la liquidación de QBot..
¿Es Pikabot un nuevo QakBot??
en su informe, Cofense dijo que Las tácticas y métodos de DarkGate y Pikabot son similares a los del QakBot anterior. (también conocido como Qbot) campañas. Eso es, parece que los operadores de Qbot simplemente pasaron a utilizar nuevas botnets y malware. Los investigadores escriben que QBot era una de las botnets más grandes. La difusión de QBot estuvo asociada al correo electrónico, y DarkGate y Pikabot son descargadores de malware modulares que tienen las mismas funciones que QBot..
Similar a QBot, Los piratas informáticos utilizan los nuevos descargadores para obtener acceso inicial a las víctimas.’ redes. Luego realizan ataques de ransomware, espionaje y robo de datos. Curiosamente, algunos expertos en ciberseguridad predijo el posible regreso del malware.
Características de la campaña de phishing de los herederos de QBot
Según Cofense, este verano la cantidad de correos electrónicos maliciosos que difunden DarkGate aumentado significativamente. En octubre 2023, los atacantes pasaron a utilizar Pikabot como su carga útil principal. Estos ataques de phishing comienzan con correos electrónicos que parecen ser una respuesta o un reenvío. relacionado con una discusión previamente robada. Esto hace que sea más probable que los destinatarios vean el mensaje con más confianza..
Los usuarios que hacen clic en una URL de dicho correo electrónico pasan por una serie de comprobaciones y luego se les solicita que descarguen un archivo ZIP.. Este archivo contiene un cuentagotas. que recupera la carga útil final de una fuente remota.
Los investigadores señalan que los atacantes experimentaron con varios goteros para determinar cuál funcionó mejor, incluido:
- Cuentagotas de JavaScript para cargar y ejecutar PE o DLL;
- Cargador de ADN de Excel, basado en un proyecto de código abierto utilizado para crear archivos XLL. En este caso se utiliza para descargar y ejecutar malware.;
- Cargadores VBS, que puede ejecutar malware a través de archivos .vbs en documentos de Microsoft Office o iniciar ejecutables de línea de comandos;
- Descargadores LNK, que utilizan archivos .lnk para descargar y ejecutar malware.
La carga útil final utilizada en estos ataques hasta septiembre 2023 era Puerta oscura, que fue reemplazada por PikaBot en octubre 2023.
¿Qué tan peligrosos son DarkGate y PikaBot??
DarkGate es un malware modular que admite varios tipos de comportamiento malicioso. Su primera aparición ocurrió allá por 2017, pero estuvo disponible para las masas sólo en el verano de 2023. Éste, eventualmente, terminó con un fuerte aumento en su distribución. Entre las características clave, DarkGate cuenta con acceso remoto hVNC, minería de criptomonedas y creación de shell inverso. Permite el registro de teclas, robar datos de una máquina infectada.
Sucesivamente, PikaBot es un malware más nuevo que apareció por primera vez a principios 2023 y consta de un cargador y un módulo principal, con mecanismos de protección contra la depuración, máquinas virtuales, y emulaciones. En la máquina infectada, Crea un perfil del sistema y envía los datos recopilados al servidor de control., esperando más instrucciones. En respuesta, el servidor envía comandos para cargar y ejecutar módulos en forma de archivos DLL o PE, comandos de shellcode o línea de comando. Todo esto hace de PikaBot una herramienta universal..
¿Por qué es famoso QakBot??
QakBot, Activo Desde 2008, Originalmente era un troyano bancario.. Pero ha evolucionado con el tiempo hasta convertirse en un potente descargador de malware. capaz de desplegar cargas útiles adicionales, robando información, y permitir el movimiento lateral. Las campañas maliciosas de Qbot probablemente estén vinculadas a piratas informáticos rusos y son constantemente mejorando sus métodos de distribución de malware.
En 2020 El troyano Qbot entró por primera vez en la lista. del malware más extendido en el mundo. Y desde entonces, el malware había aparecido continuamente en los boletines durante la siguiente 3 años. Entre sus vectores de ataque más notables se encuentra la adopción de la vulnerabilidad de día 0 en Windows MSDT. llamada follina.
Sin embargo, el fbi, en colaboración con varias organizaciones internacionales encargadas de hacer cumplir la ley, llevado a cabo Operación caza del pato, lo que resultó en la destrucción del QBot (QakBot) infraestructura en agosto 2023.
El FBI logró penetrar en la guarida de un grupo cibercriminal y apoderarse del ordenador de uno de sus líderes. Posteriormente, a través de la plataforma de juegos QBot, el FBI envió un programa de destrucción de botnet a los dispositivos afectados.. Después de lo cual el malware fue eliminado de más de 700 Mil dispositivos infectados en todo el mundo.. Pero, como podemos ver, El legado de la botnet QBot sigue vivo..