Les auteurs de la menace derrière le malware PikaBot ont apporté des modifications significatives au malware dans ce qui a été décrit comme un cas de « dévolution ».
« Bien qu’il semble être dans un nouveau cycle de développement et une nouvelle phase de test, les développeurs ont réduit la complexité du code en supprimant les techniques avancées d’obscurcissement et en modifiant les communications réseau », a déclaré Nikolaos Pantazopoulos, chercheur chez Zscaler ThreatLabz. dit.
PikaBot, documenté pour la première fois par la société de cybersécurité en mai 2023, est un chargeur de logiciels malveillants et une porte dérobée qui peut exécuter des commandes et injecter des charges utiles à partir d’un serveur de commande et de contrôle (C2) ainsi que permettre à l’attaquant de contrôler l’hôte infecté.
Il est également connu qu’il interrompt son exécution si la langue du système est le russe ou l’ukrainien, ce qui indique que les opérateurs sont basés en Russie ou en Ukraine.
Ces derniers mois, PikaBot et un autre chargeur appelé DarkGate sont apparus comme des remplaçants intéressants pour les acteurs malveillants tels que Water Curupira (alias TA577) pour obtenir un accès initial aux réseaux cibles via des campagnes de phishing et abandonner Cobalt Strike.
L’analyse par Zscaler d’une nouvelle version de PikaBot (version 1.18.32) observée ce mois-ci a révélé qu’elle continue de se concentrer sur l’obscurcissement, bien qu’avec des algorithmes de cryptage plus simples, et l’insertion de code indésirable entre des instructions valides dans le cadre de ses efforts pour résister à l’analyse.
Une autre modification cruciale observée dans la dernière itération est que l’intégralité de la configuration du bot – similaire à celle de QakBot – est stockée en texte brut dans un seul bloc de mémoire, au lieu de chiffrer chaque élément et de les décoder au moment de l’exécution.
Un troisième changement concerne les communications réseau du serveur C2, les développeurs de logiciels malveillants modifiant les identifiants de commande et l’algorithme de cryptage utilisé pour sécuriser le trafic.
« Malgré sa récente inactivité, PikaBot continue d’être une cybermenace importante et en constante évolution », ont conclu les chercheurs.
« Cependant, les développeurs ont décidé d’adopter une approche différente et de réduire le niveau de complexité du code de PikaBot en supprimant les fonctionnalités avancées d’obscurcissement. »
Le développement intervient comme Proofpoint alerté d’une campagne de prise de contrôle de compte cloud (ATO) en cours qui a ciblé des dizaines d’environnements Microsoft Azure et compromis des centaines de comptes d’utilisateurs, y compris ceux appartenant à des cadres supérieurs.
Cette activité, en cours depuis novembre 2023, cible les utilisateurs avec des leurres de phishing individualisés contenant des fichiers leurres contenant des liens vers des pages Web de phishing malveillantes pour la collecte d’informations d’identification, et les utilise à des fins d’exfiltration de données ultérieures, de phishing interne et externe et de fraude financière.