De malware-loader bekend als PikaBot wordt verspreid als onderdeel van een malvertisingcampagne die zich richt op gebruikers die zoeken naar legitieme software zoals AnyDesk.
“PikaBot werd voorheen alleen verspreid via malspamcampagnes, vergelijkbaar met QakBot, en kwam naar voren als een van de favoriete payloads voor een bedreigingsacteur die bekend staat als TA577”, aldus Jérôme Segura van Malwarebytes.
De malwarefamilie, die begin 2023 voor het eerst verscheen, bestaat uit een lader en een kernmodule waarmee deze zowel als achterdeur als distributeur voor andere payloads kan functioneren.
Hierdoor kunnen de bedreigingsactoren ongeoorloofde toegang op afstand verkrijgen tot aangetaste systemen en opdrachten verzenden vanaf een command-and-control (C2)-server, variërend van willekeurige shellcode, DLL’s of uitvoerbare bestanden tot andere kwaadaardige tools zoals Cobalt Strike.
Een van de bedreigingsactoren die PikaBot gebruiken bij zijn aanvallen is TA577, een productieve cybercriminaliteitsacteur die in het verleden QakBot, IcedID, SystemBC, SmokeLoader, Ursnif en Cobalt Strike heeft opgeleverd.
Vorige maand bleek dat PikaBot, samen met DarkGate, wordt verspreid via malspamcampagnes die overeenkomen met die van QakBot. “Pikabot-infectie leidde tot Cobalt Strike op 207.246.99[.]159:443 met masteruni’s[.]net als zijn domein”, Palo Alto Networks Unit 42 onthuld onlangs.
De nieuwste initiële infectievector is een kwaadaardige Google-advertentie voor AnyDesk die, wanneer erop wordt geklikt door een slachtoffer vanaf de pagina met zoekresultaten, doorverwijst naar een nepwebsite met de naam anadesky.ovmv[.]net dat verwijst naar een kwaadaardig MSI-installatieprogramma dat wordt gehost op Dropbox.
Het is de moeite waard om erop te wijzen dat de omleiding naar de valse website alleen plaatsvindt na het nemen van een vingerafdruk op het verzoek, en alleen als het niet afkomstig is van een virtuele machine.
“De bedreigingsactoren omzeilen de beveiligingscontroles van Google met een tracking-URL via een legitiem marketingplatform om door te sturen naar hun aangepaste domein achter Cloudflare”, legt Segura uit. “Op dit moment worden alleen schone IP-adressen doorgestuurd naar de volgende stap.”
Interessant genoeg vindt er een tweede ronde van vingerafdrukken plaats wanneer het slachtoffer op de downloadknop op de website klikt, waarschijnlijk in een extra poging om ervoor te zorgen dat deze niet toegankelijk is in een gevirtualiseerde omgeving.
Malwarebytes zei dat de aanvallen doen denken aan eerder geïdentificeerde malvertisingketens die worden gebruikt om een andere loader-malware te verspreiden die bekend staat als FakeBat (ook bekend als EugenLoader).
“Dit is vooral interessant omdat het wijst op een gemeenschappelijk proces dat door verschillende bedreigingsactoren wordt gebruikt”, aldus Segura. “Misschien is dit zoiets als ‘malvertising-as-a-service’, waarbij Google-advertenties en lokpagina’s worden aangeboden aan malwaredistributeurs.”
Deze onthulling komt op het moment dat het cyberbeveiligingsbedrijf zei dat het een piek in kwaadaardige advertenties had gedetecteerd via Google-zoekopdrachten naar populaire software zoals Zoom, Advanced IP Scanner en WinSCP om een nog nooit eerder vertoonde lader te leveren genaamd HiroshimaNukes en FakeBat.
“Het gebruikt verschillende technieken om detectie van DLL-side-loading naar zeer grote payloads te omzeilen”, aldus Segura. “Het doel is om extra malware te droppen, meestal een stealer gevolgd door data-exfiltratie.”
De toename van malvertising is indicatief voor de manier waarop browsergebaseerde aanvallen fungeren als kanalen voor het infiltreren van doelnetwerken. Dit omvat ook een nieuw Google Chrome-extensieframework met de codenaam ParaSiteSnatcher, waarmee bedreigingsactoren “zeer gevoelige informatie uit meerdere bronnen kunnen monitoren, manipuleren en exfiltreren”.
De frauduleuze extensie is specifiek ontworpen om gebruikers in Latijns-Amerika in gevaar te brengen en is opmerkelijk vanwege het gebruik van de Chrome Browser API om alle POST-verzoeken met gevoelige account- en financiële informatie te onderscheppen en te exfiltreren. Het wordt gedownload via een VBScript-downloader die wordt gehost op Dropbox en Google Cloud en op een geïnfecteerd systeem wordt geïnstalleerd.
“Eenmaal geïnstalleerd, manifesteert de extensie zich met behulp van uitgebreide machtigingen die zijn ingeschakeld via de Chrome-extensie, waardoor deze websessies en webverzoeken kan manipuleren en gebruikersinteracties op meerdere tabbladen kan volgen met behulp van de Chrome Tabs API”, zei Trend Micro vorige maand.
“De malware omvat verschillende componenten die de werking ervan vergemakkelijken, inhoudsscripts die het injecteren van kwaadaardige code in webpagina’s mogelijk maken, Chrome-tabbladen monitoren en gebruikersinvoer en webbrowsercommunicatie onderscheppen.”
