El cargador de malware conocido como PikaBot se distribuye como parte de una campaña de publicidad maliciosa dirigida a usuarios que buscan software legítimo como AnyDesk.
«Anteriormente, PikaBot solo se distribuía a través de campañas de malspam de manera similar a QakBot y surgió como una de las cargas útiles preferidas para un actor de amenazas conocido como TA577», Jérôme Segura de Malwarebytes. dicho.
La familia de malware, que primero apareció a principios de 2023, consta de un cargador y un módulo central que le permite funcionar como puerta trasera y distribuidor de otras cargas útiles.
Esto permite a los actores de amenazas obtener acceso remoto no autorizado a sistemas comprometidos y transmitir comandos desde un servidor de comando y control (C2), que van desde shellcode arbitrario, DLL o archivos ejecutables, hasta otras herramientas maliciosas como Cobalt Strike.
Supere las amenazas impulsadas por la IA con confianza cero: seminario web para profesionales de la seguridad
Las medidas de seguridad tradicionales no son suficientes en el mundo actual. Es hora de adoptar la seguridad Zero Trust. Proteja sus datos como nunca antes.
Uno de los actores de amenazas que aprovecha PikaBot en sus ataques es TA577un prolífico actor de amenazas de delitos cibernéticos que, en el pasado, entregó QakBot, IcedID, SystemBC, SmokeLoader, Ursnif y Cobalt Strike.
El mes pasado, se supo que PikaBot, junto con DarkGate, se está propagando a través de campañas de malspam que reflejan la de QakBot. «La infección por Pikabot provocó el ataque de Cobalt en 207.246.99[.]159:443 usando masterunis[.]net como su dominio», Unidad 42 de Palo Alto Networks revelado recientemente.
El último vector de infección inicial es un anuncio malicioso de Google para AnyDesk que, cuando una víctima hace clic en la página de resultados de búsqueda, redirige a un sitio web falso llamado anadesky.ovmv.[.]net que apunta a un instalador MSI malicioso alojado en Dropbox.
Vale la pena señalar que la redirección al sitio web falso sólo se produce después de tomar la huella digital de la solicitud, y sólo si no se origina en una máquina virtual.
«Los actores de amenazas están eludiendo los controles de seguridad de Google con una URL de seguimiento a través de una plataforma de marketing legítima para redirigir a su dominio personalizado detrás de Cloudflare», explicó Segura. «En este punto, sólo las direcciones IP limpias se reenvían al siguiente paso».
Curiosamente, se lleva a cabo una segunda ronda de toma de huellas digitales cuando la víctima hace clic en el botón de descarga del sitio web, probablemente en un intento adicional de garantizar que no sea accesible en un entorno virtualizado.
Malwarebytes dijo que los ataques recuerdan a cadenas de publicidad maliciosa previamente identificadas y empleadas para difundir otro cargador de malware conocido como FakeBat (también conocido como EugenLoader).
«Esto es particularmente interesante porque apunta hacia un proceso común utilizado por diferentes actores de amenazas», dijo Segura. «Quizás esto sea algo parecido a la ‘publicidad maliciosa como servicio’ en la que se proporcionan anuncios de Google y páginas señuelo a los distribuidores de malware».
Esta divulgación se produce cuando la compañía de ciberseguridad dijo que detectó un aumento en anuncios maliciosos a través de búsquedas en Google de software popular como Zoom, Advanced IP Scanner y WinSCP para ofrecer un cargador nunca antes visto llamado HiroshimaNukes, así como FakeBat.
«Utiliza varias técnicas para evitar la detección desde la carga lateral de DLL hasta cargas útiles muy grandes», Segura dicho. «Su objetivo es eliminar malware adicional, normalmente un ladrón seguido de una filtración de datos».
El aumento de la publicidad maliciosa es indicativo de cómo los ataques basados en navegadores actúan como canales para infiltrarse en las redes objetivo. Esto también incluye un nuevo marco de extensión de Google Chrome con nombre en código ParaSiteSnatcher, que permite a los actores de amenazas «monitorear, manipular y extraer información altamente confidencial de múltiples fuentes».
Diseñada específicamente para comprometer a los usuarios en América Latina, la extensión maliciosa se destaca por su uso de la API del navegador Chrome para interceptar y filtrar todas las solicitudes POST que contienen información confidencial de cuentas y financiera. Se descarga a través de un descargador de VBScript alojado en Dropbox y Google Cloud y se instala en un sistema infectado.
«Una vez instalada, la extensión se manifiesta con la ayuda de amplios permisos habilitados a través de la extensión de Chrome, lo que le permite manipular sesiones web, solicitudes web y realizar un seguimiento de las interacciones del usuario en múltiples pestañas utilizando la API de pestañas de Chrome», Trend Micro dicho el mes pasado.
«El malware incluye varios componentes que facilitan su funcionamiento, scripts de contenido que permiten la inyección de código malicioso en páginas web, monitorean pestañas de Chrome e interceptan la entrada del usuario y la comunicación del navegador web».