Los actores de amenazas detrás del malware PikaBot han realizado cambios significativos en el malware en lo que se ha descrito como un caso de «devolución».
«Aunque parece estar en un nuevo ciclo de desarrollo y fase de prueba, los desarrolladores han reducido la complejidad del código eliminando técnicas avanzadas de ofuscación y cambiando las comunicaciones de la red», dijo Nikolaos Pantazopoulos, investigador de Zscaler ThreatLabz. dicho.
PikaBot, documentado por primera vez por la empresa de ciberseguridad en mayo de 2023, es un cargador de malware y una puerta trasera que puede ejecutar comandos e inyectar cargas útiles desde un servidor de comando y control (C2), además de permitir al atacante controlar el host infectado.
También se sabe que detiene su ejecución si el idioma del sistema es ruso o ucraniano, lo que indica que los operadores tienen su sede en Rusia o Ucrania.
En los últimos meses, tanto PikaBot como otro cargador llamado DarkGate han surgido como reemplazos atractivos para que actores de amenazas como Water Curupira (también conocido como TA577) obtengan acceso inicial a las redes objetivo a través de campañas de phishing y eliminen Cobalt Strike.
El análisis de Zscaler de una nueva versión de PikaBot (versión 1.18.32) observado este mes ha revelado su continuo enfoque en la ofuscación, aunque con algoritmos de cifrado más simples, y la inserción de código basura entre instrucciones válidas como parte de sus esfuerzos por resistir el análisis.
Otra modificación crucial observada en la última versión es que toda la configuración del bot, que es similar a la de QakBot, se almacena en texto plano en un único bloque de memoria en lugar de cifrar cada elemento y decodificarlos en tiempo de ejecución.
Un tercer cambio se refiere a las comunicaciones de la red del servidor C2, en el que los desarrolladores de malware modifican los ID de los comandos y el algoritmo de cifrado utilizado para proteger el tráfico.
«A pesar de su reciente inactividad, PikaBot sigue siendo una amenaza cibernética importante y en constante desarrollo», concluyeron los investigadores.
«Sin embargo, los desarrolladores han decidido adoptar un enfoque diferente y disminuir el nivel de complejidad del código de PikaBot eliminando funciones avanzadas de ofuscación».
El desarrollo llega como Proofpoint. alertado de una campaña de adquisición de cuentas en la nube (ATO) en curso que se ha dirigido a docenas de entornos de Microsoft Azure y ha comprometido cientos de cuentas de usuarios, incluidas aquellas que pertenecen a altos ejecutivos.
La actividad, en marcha desde noviembre de 2023, selecciona a los usuarios con señuelos de phishing individualizados que llevan archivos señuelo que contienen enlaces a páginas web de phishing maliciosas para la recolección de credenciales y los utilizan para la posterior exfiltración de datos, phishing interno y externo y fraude financiero.