De bedreigingsactoren achter de PikaBot-malware hebben aanzienlijke wijzigingen in de malware aangebracht in wat wordt beschreven als een geval van ‘decentralisatie’.
“Hoewel het zich in een nieuwe ontwikkelingscyclus en testfase lijkt te bevinden, hebben de ontwikkelaars de complexiteit van de code verminderd door geavanceerde verduisteringstechnieken te verwijderen en de netwerkcommunicatie te veranderen”, aldus Zscaler ThreatLabz-onderzoeker Nikolaos Pantazopoulos.
PikaBot, voor het eerst gedocumenteerd door het cyberbeveiligingsbedrijf in mei 2023, is een malware-lader en een achterdeur die opdrachten kan uitvoeren en payloads kan injecteren vanaf een command-and-control (C2)-server en waarmee de aanvaller de geïnfecteerde host kan controleren.
Het is ook bekend dat het de uitvoering ervan stopzet als de taal van het systeem Russisch of Oekraïens is, wat aangeeft dat de operators in Rusland of Oekraïne zijn gevestigd.
De afgelopen maanden zijn zowel PikaBot als een andere lader genaamd DarkGate naar voren gekomen als aantrekkelijke vervangers voor bedreigingsactoren zoals Water Curupira (ook bekend als TA577) om initiële toegang te verkrijgen tot doelnetwerken via phishing-campagnes en Cobalt Strike te laten vallen.
Zscaler’s analyse van een nieuwe versie van PikaBot (versie 1.18.32), die deze maand werd waargenomen, heeft zijn voortdurende focus op verduistering onthuld, zij het met eenvoudigere encryptie-algoritmen, en het invoegen van ongewenste code tussen geldige instructies als onderdeel van zijn inspanningen om analyse te weerstaan.
Een andere cruciale wijziging die in de laatste iteratie is waargenomen, is dat de volledige botconfiguratie – die vergelijkbaar is met die van QakBot – in leesbare tekst wordt opgeslagen in een enkel geheugenblok, in plaats van elk element te versleutelen en ze tijdens runtime te decoderen.
Een derde verandering betreft de C2-servernetwerkcommunicatie, waarbij de malware-ontwikkelaars de opdracht-ID’s en het versleutelingsalgoritme dat wordt gebruikt om het verkeer te beveiligen, aanpassen.
“Ondanks de recente inactiviteit blijft PikaBot een aanzienlijke cyberdreiging en voortdurend in ontwikkeling”, concludeerden de onderzoekers.
“De ontwikkelaars hebben echter besloten een andere aanpak te kiezen en het complexiteitsniveau van de PikaBot-code te verlagen door geavanceerde verduisteringsfuncties te verwijderen.”
De ontwikkeling komt nadat Proofpoint werd gewaarschuwd voor een voortdurende cloud account takeover (ATO)-campagne die zich op tientallen Microsoft Azure-omgevingen heeft gericht en honderden gebruikersaccounts heeft gecompromitteerd, waaronder die van senior executives.
De activiteit, die sinds november 2023 aan de gang is, richt zich op gebruikers met geïndividualiseerd phishing-aas met lokbestanden die links bevatten naar kwaadaardige phishing-webpagina’s voor het verzamelen van inloggegevens, en gebruikt deze voor vervolggegevensexfiltratie, interne en externe phishing en financiële fraude.
